Por: Mauricio Hurtado de Mendoza, Relationship Partner del Governance Insights Center México en PwC México
Es indudable que la ciberseguridad es un tema muy presente en las reuniones de los consejos de administración. Como parte de sus tareas, los consejeros tienen la labor de evaluar y gestionar los principales riesgos para la organización. Entre estos, los ataques cibernéticos deberían ocupar un lugar prioritario, debido al creciente número de incidentes, sofisticación y potencial de alto impacto negativo en el negocio.
Como es sabido, la acelerada digitalización aumenta las posibilidades de sufrir un ataque cibernético. Esto hace más difícil para las empresas mantenerse al día en las mejores prácticas que contribuyan a salvaguardar los datos y sistemas. Esta circunstancia requiere de la construcción de un modelo adecuado de liderazgo y gobernanza que permee en todos los niveles de la organización, empezando por los consejeros e incorporando a todos los colaboradores.
Vale la pena mencionar que los retos en materia de ciberseguridad deben atenderse en el liderazgo. En ocasiones suelen subestimarse, un ejemplo: se pone en evidencia cuando se piensa que la seguridad cibernética solo se trata de la privacidad de datos, o bien, se limita a instalar un antivirus en los dispositivos de los colaboradores. Esta limitada visión puede provocar que las empresas se conviertan en blancos vulnerables.
Si bien la tecnología es de gran ayuda para lograr los objetivos de transformación que los negocios demandan, es necesario tener siempre presente que, al final, esta es operada por las personas. No es una sorpresa saber que, estadísticamente, más del 90% de los problemas de ciberseguridad se deben a errores humanos. Por ello, la ciberseguridad es un tema que se refuerza, en gran medida, a través de la cultura organizacional.
Hoy nos encontramos ante el reto de proteger las cadenas de suministro. Este punto es particularmente sensible, dadas las disrupciones que a nivel mundial se están experimentando. Imaginemos qué ocurriría si se presenta un ataque cibernético en algún eslabón de la cadena de suministro; las consecuencias tendrían un impacto encadenado en todo el flujo operativo del negocio.
Resulta imprescindible evaluar el nivel de comunicación que existe con los proveedores y asegurarse de que ellos tienen las medidas de seguridad convenientes. El riesgo radica en que, a través de ellos, los sistemas de una organización puedan ser vulnerados. Recordemos: los hackers son esencialmente oportunistas y buscarán atacar dondequiera que encuentren vulnerabilidades.
Proactividad de la mano con la innovación
Si bien en el Senado de nuestro país está comenzando la discusión sobre una propuesta de ley en materia de ciberseguridad, y esto evidentemente es necesario, las acciones de prevención y, en su caso, remediación deberían ser evaluadas aún antes de que la legislación correspondiente sea aprobada como parte de una estrategia encaminada a seguir las mejores prácticas de ciberseguridad a nivel global.
Aunque los consejos de administración interactúan con los CISO y los CEO para abordar los riesgos cibernéticos, se requiere que los consejeros profundicen en sus conocimientos de ciberseguridad y aceleren tanto la innovación como el desarrollo de estrategias de seguridad cibernética para responder al entorno actual. Se necesita un esfuerzo paralelo que identifique los riesgos del presente y prepare al negocio para los desafíos del futuro.
Alrededor del mundo, los líderes de las organizaciones están prestando cada vez mayor atención a las nuevas tecnologías, como el metaverso, la realidad virtual e incluso las criptomonedas. Si bien esta transformación se afianzará a lo largo de varios años y sus diferentes componentes madurarán en distintos momentos, los riesgos no son menores. Los consejeros visionarios consolidarán estrategias de seguridad y resiliencia que anticipen ataques en esta materia.
Una lección que hemos aprendido de los ataques cibernéticos del pasado es la siguiente: una amenaza sofisticada y altamente evasiva puede estar en el corazón de los sistemas de una organización durante meses antes de ser detectada. Es necesario tener esto en mente para que los consejos de administración comiencen a hacer preguntas a los expertos y reciban la información necesaria para tomar decisiones.
Tomemos la oportunidad de proteger, desde ahora, las sociedades digitales del futuro.