Cada día existe más literatura especializada y normas relacionadas a la ciberseguridad. Y a la par, se constata que los ataques en el ciberespacio se multiplican exponencialmente[1]. No obstante, el cambio fundamental que necesitamos urgentemente es un cambio cultural, un reset del chip mental, que nos lleve a internalizar (i) que no se trata de un “risk mitigation” sino de un “risk management” y (ii) que el Directorio o Board of Directors necesita incluir directores cuyo perfil o experiencia profesional, enriquezca el debate en las Juntas, sin que lo “técnico” sea relegado por no entenderlo.
En efecto, muchas empresas (en varias latitudes), creen que la ciberseguridad es competencia exclusiva de sus departamentos de TI, y que a lo mucho, ello implica un leve incremento en el Budget anual. Nada más alejado de la verdad.
Hace poco leí dos artículos sumamente interesantes, cuyos resultados interesa compartir: Uno de ellos, es “The Behavioral economics of why executives underinvest in cybersecurity” de Alex Blau (Harvard Business Review – Cybersecurity”), en el que se concluye que, en el caso de la ciberseguridad, algunos tomadores de decisión usan sus erróneos modelos mentales para ayudarles a determinar cuánta inversión es necesaria y a dónde debe estar destinada. Un típico ejemplo erróneo es pensar que la ciberseguridad es un proceso de crear una fuerte fortificación (tipo castillo feudal, con foso y caimanes incluidos) y con ello, uno podrá ver los ciberataques desde lejos y muy a salvo. Error.
Y el autor señala acertadamente que el problema de este modelo mental es pensar que la ciberseguridad es un problema finito que puede ser resuelto en vez de verlo como el PROCESO que realmente es. En suma: No se trata de “risk mitigation”[2] sino de “risk management”[3]. En esa línea, la metodología de trabajo que se propone es trabajar con los CEO y los CFO para reformar las métricas, en función al número de vulnerabilidades que se detectan y son arreglados. Nótese que NO hay sistema de ciberseguridad que sea impenetrable, por lo que se recomienda que haya pruebas internas de vulnerabilidad para evidenciar hasta donde se puede llegar, si hay un hacker empeñoso.
Y aquí es donde me pregunto: ¿Cómo se puede apoyar la gestión interna de los “Chief information security officers-CISOs” en una empresa? Y aquí es donde leo un segundo interesante artículo “Boards are Having the Wrong Conversations about Cybersecurity” (Harvard Business Review – Lucia Milica and Keri Pearlson)[4], que trata sobre la especial importancia de que la Junta de directores o Board of Directors de las empresas ayuden a sus organizaciones a volverse resilientes a los ciberataques. Y lo que este estudio encuentra es que no hay comunicación relevante entre los CISOs y los Board of Directors. A su vez, en este artículo se evidencia que los directores carecen del conocimiento real del impacto que implica el “error humano” para la ciberseguridad y no se dan real cuenta de la magnitud del riesgo organizacional que ello implica. O, por otro lado, el tema tecnológico no lo ven cercano a sus decisiones habituales.
Por todo lo anterior, los autores nos recomiendan que la composición de los Board of Directors debe cambiar, incluyendo algunos directores cuyo perfil o experiencia profesional, comprenda estos nuevos temas; por lo tanto, el Board of Directors no debería alejarse de estos temas, por no entenderlos.
Tengamos presente que, al ser miembros de un Directorio, se debe velar, cautelar y salvaguardar los intereses de los accionistas respecto a la buena marcha de la empresa; por tanto, el Directorio debe estar alineado a dicho mandato, enmarcado en un comportamiento ético, transparente, íntegro y con la responsabilidad de desarrollar una estrategia empresarial correcta; en suma, ser responsables de las tareas ineludibles que conllevan ser Directores de una empresa, en toda la magnitud del término. Y ello involucra ser capaz de integrar en el Board of Directors mismo, a quienes necesita ineludiblemente para cumplir sus tareas.
Estamos rodeados de tecnología, es parte de nuestra vida. Debemos interactuar con ella, y que mejor, que en el centro mismo de las decisiones fundamentales de las empresas.
[1] En el caso de América Latina, el reporte 2023 del Latam CISO, destaca que la región sufre 1.600 ciberataques por segundo y que el ransomware se encuentra entre los más comunes. A su vez, Fortinet, anunció en su último informe semestral sobre el Panorama Global de Amenazas de FortiGuard Labs (Peru 21) que Perú fue el objetivo de más de 3.000 millones de intentos de ciberataques en el primer semestre de 2023.
[2] La mitigación de riesgos implica tomar medidas para reducir la probabilidad de que ocurran riesgos, en primer lugar.
[3] La gestion de riesgos consiste en identificar riesgos y desarrollar planes para evitarlos o disminuir su impacto.
[4] https://hbr.org/2023/05/boards-are-having-the-wrong-conversations-about-cybersecurity