El rol de directores y líderes corporativos en la seguridad de la información

Por: Dra. Mónica González – Directora UACOC

El mayor acceso y dependencia de la Tecnología, ha conllevado un incremento exponencial al riesgo de ciberataques y ello ha puesto de manifiesto la importancia de la Seguridad de la información para las empresas y organizaciones.

Los datos personales constituyen una valiosa fuente de información que las Empresas pueden utilizar para obtener conocimientos sobre las personas y sus comportamientos.

Nos toca reflexionar sobre lo siguiente: ¿Qué nivel de concientización tienen los lideres de las corporaciones, sobre el importante rol que deben desempeñar en el cuidado y la seguridad de la información?

Resulta crucial que los directorios de las corporaciones sean conscientes de lo prioritario que es este tema para las Empresas, y estén involucrados en la estrategia de ciberseguridad.

Esto implica asignar los recursos necesarios para implementar las medidas de seguridad adecuadas, tomar decisiones informadas sobre la gestión de riesgos, y diseñar un plan de respuesta que los prepare para responder ante posibles incidentes.

Últimamente hemos visto la significativa importancia que ha tomado la ciberseguridad, debido al mayor acceso y dependencia de la tecnología para la comunicación y acceso a los servicios, el exponencial crecimiento del trabajo remoto, y finalmente la transformación vertiginosa de la forma en que las personas estudian, consumen y se comunican, factores que tuvieron en común, el disparador de la pandemia.

Como contracara, las amenazas cibernéticas también crecieron enormemente, habiéndose incrementado los ataques de phishing, malware, incremento de vulnerabilidades en software y sistemas de seguridad, cambios en los hábitos de uso de la tecnología, entre otros.

El nuevo escenario de la era digital ha creado nuevas oportunidades para los ciberdelincuentes y cada vez son más las vulnerabilidades a las que estamos expuestos empresas, consumidores, usuarios, privados y públicos, en cuanto al robo, filtración y secuestro de información confidencial y datos personales.

La permanente situación de amenazas de ciberataques ha puesto de manifiesto la importancia de la ciberseguridad para las empresas y organizaciones, siendo fundamental que estas implementen medidas de seguridad adecuadas para proteger sus sistemas de información y sus datos en forma adecuada.

Ya no nos preguntamos si pasará, sabemos que mas tarde o más temprano, sucederá y por ello debemos estar preparados. Se ha dicho que los datos personales son el nuevo petróleo y esta comparación se debe a que ambos recursos son valiosos, aunque cada uno por una razón distinta. Indudablemente los datos personales constituyen actualmente una extraordinaria fuente de información que las Empresas y Organizaciones pueden utilizar para obtener conocimientos sobre las personas y sus comportamientos. Al igual que el petróleo, los datos deben ser refinados y procesados para que sean útiles, utilizando algoritmos y herramientas de análisis de datos.

Sin embargo, los datos personales también pueden ser peligrosos si son manipulados por el destinatario incorrecto. En efecto, si los datos son mal utilizados o se ven comprometidos, pueden llevar a consecuencias graves como el robo de identidad, la discriminación y la pérdida de privacidad.

Por ello, las personas afectadas por filtraciones de sus datos personales están cada vez más atentas a cómo responden las Corporaciones frente a estos incidentes de ciberseguridad y lo mismo los Organismos controladores de proteger los datos personales encargados de supervisar las políticas de cumplimiento.

Ante este nuevo escenario, vale la pena hacer una pausa para preguntarse: ¿qué nivel de concientización tienen los directores o lideres de las corporaciones, sobre el importante rol que deben desempeñar en la protección de la seguridad de la información?

El tema de la ciberseguridad es un tema que debe involucrar a todo líder y director de una Empresa, y comprometer a todo el equipo en los esfuerzos y compromiso por el cuidado y salvaguarda de la información.

Sin duda cuando nos encontramos frente a un incidente o amenaza de seguridad que pone en jaque al sistema o la continuidad del negocio, ello evidentemente representa un costo financiero sumamente considerable para las Empresas. Pero también porque cualquier filtración o robo de datos, puede impactar fuerte y negativamente en la imagen reputacional de la Organización. Y además porque muchas de las vulnerabilidades que cedieron ante el ciberataque pudieron haber sido mitigadas o al menos conocidas; y en este sentido la adopción de medidas de protección proactivas es una imposición legal en muchos países, como por ejemplo en el nuestro.

También el reconocido Reglamento General de Protección de Datos Personales de la Unión Europea mandata la toma de medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la divulgación, la destrucción o alteración accidental o ilícita.

Por su parte Ley de Privacidad del Consumidor de California (CCPA) establece una serie de obligaciones para ciertas Empresas que procesan datos personales de los residentes de California. Se espera una ley federal para los Estados Unidos que unifique el marco regulatorio de la privacidad. En América Latina son varios los países que ya han implementado leyes de protección de datos, como Argentina, Brasil (LGPD), Chile, México, Colombia, Perú, lo cual denota una clara tendencia en el marco regulatorio de los datos, pero también una inevitable necesidad de abordaje legal. Dicho esto, resulta crucial que los directorios o lideres de las corporaciones, comprendan y sean conscientes de la prioridad y la importancia de la seguridad de la información para las Empresas, y estén involucrados en la estrategia de ciberseguridad.

Esto implica que deban asignar los recursos necesarios para implementar las medidas de seguridad adecuadas, tomar decisiones informadas sobre la gestión de riesgos, y diseñar un plan de respuesta o contingencia que los prepare para responder ante posibles incidentes o amenazas de seguridad.

La cultura de seguridad de la información, tan importante en este tema, debe bajar desde el board y ser trasversal a toda la organización y hacia todo el equipo, asegurándose de que todos los miembros de la Organización entiendan el valor y la importancia de la privacidad de los datos y asegurándose de que estos están capacitados y formados, así como sensibilizados sobre las políticas y mejores prácticas de seguridad cibernética.

También es de gran relevancia que los directores tomen decisiones informadas sobre la implementación de tecnologías y servicios que implican datos sensibles, para asegurarse de que se adopten medidas de seguridad adecuadas y consistentes.

Vale la pena citar por resultar de sumo interés, el artículo “Why Boards Need to be Proactive on Cybersecurity”, (Porqué los directorios deben ser proactivos en ciberseguridad) de la Revista Harvard Business Review.

En este artículo el autor David Burg enfatiza la importancia de tomar un enfoque proactivo en materia de ciberseguridad, por parte de los directores de las organizaciones en lugar de abordar la ciberseguridad como una cuestión técnica únicamente.

Asimismo, destaca la necesidad de que sean conscientes de las consecuencia e implicancias comerciales y estratégicas de los riesgos y que trabajen con los equipos de seguridad para garantizar la protección adecuada de los activos críticos de la empresa.

En este sentido vale la pena mencionar que la Federal Trade Commission (FTC) ha proporcionado una serie de recomendaciones para concientizar a los directores de las empresas sobre la importancia de la ciberseguridad. Estas recomendaciones incluyen:

1. Liderar asumiendo la responsabilidad: Los directores deben asumir la responsabilidad de la salvaguarda y seguridad de la información de la Empresa, y ello significa que deben entender las amenazas y vulnerabilidades cibernéticas y sus implicancias para la Organización.

2. Establecer y promover la cultura de la Seguridad de la Información: Los directores deben fomentar una cultura de la seguridad cibernética en la empresa, lo que significa que todos los miembros de la Organización deben conocer y entender las políticas de privacidad y mejores prácticas de ciberseguridad.

3. Evaluar y gestionar el riesgo: Los directores deben gestionar el riesgo de seguridad, lo que implica conocer y estar al tanto de las amenazas de ciberseguridad de su empresa como de su industria (Benchmarking), y tomar medidas para mitigar los riesgos.

4. Diseñar e Implementar un Plan de Respuesta o Plan de Contingencia: Los directores deben planificar y prepararse para los incidentes de ciberseguridad, lo que implica trabajar en el diseño e implementación de planes de respuesta frente posibles casos de ciberataque.

5. Asegurar el cumplimiento normativo: Los directores deben asegurarse de que la Empresa cumpla con la normativa y regulaciones de ciberseguridad y protección de datos personales. Adoptar y seguir estas recomendaciones es crucial en el rol de los lideres y directores de las Corporaciones que desempeñan un papel fundamental en la ciberseguridad de sus empresas, abordando el tema en forma permanente y como prioridad.

En resumen, si bien el rol de ciberseguridad suele ser desempeñado por el CISO o el equipo de TI de las Empresas, es crucial reflexionar sobra la importancia del involucramiento de directores y lideres corporativos, en la estrategia de seguridad de la información y gestión del riesgo, desde allí diseñar y promover una cultura de la ciberseguridad que sea trasversal a la organización, formando equipo con sus asesores legales, quienes además de conocer y proporcionar el marco regulatorio y de cumplimiento, serán capaces de acompañarlos en la gestión del riesgo y en el diseño e implementación de las mejores prácticas de seguridad.