Adoptar medidas de ciberseguridad, un reto que tienen por delante las juntas directivas

Hay que superar el bajo entendimiento sobre la ciberseguridad. Las juntas directivas y la alta dirección deben comprender las amenazas y la importancia de esta seguridad.

Es clave construir cultura corporativa en la organización y tener una postura de ciberseguridad fuerte desde la junta directiva.

La transformación digital ha traído oportunidades de crecimiento, desarrollo e innovación en las empresas, pero también llegaron retos, dificultades y amenazas de seguridad que toman fuerza con el paso del tiempo.

Según un informe de la Fiscalía General de la Nación, solo en el primer semestre del año se registraron más de 20.500 crímenes cibernéticos, lo que representa un aumento del 36 % respecto al año pasado. Además, según el CEO Outlook 2021 de KPMG, el 70 % de los ataques exitosos son internos y el 30 % externos.

Al respecto, Felipe Silgado, director de Servicios de Ciberseguridad de KPMG Colombia, explica algunos puntos para tener en cuenta en la elaboración de un plan de acción estratégico contra estos ataques y la importancia de abordar la ciberseguridad como tema central en las juntas directivas de las empresas.

Regulaciones de la Superfinanciera, el MinTIC, la Presidencia de la República, entre otras, exigen mucho control del riesgo de ciberseguridad a las empresas. Ha habido más interés y preocupación en los últimos años, pero en algunos casos sucede que las organizaciones se sienten muy seguras con las acciones que han tomado, y entonces no sienten amenazas.

Retos y consecuencias por no tener una cultura corporativa que adopte la ciberseguridad

Entre los retos que se tienen frente a este tema, afirma Silgado, están:

• Un bajo entendimiento del tema de ciberseguridad, las amenazas y su importancia por parte de las juntas directivas y la alta dirección.
• Un bajo interés por parte de las mesas directivas y altos cargos en crear una cultura de ciberseguridad.
• El riesgo legal al que están expuestos como administradores de la organización los miembros de la junta directiva y los representantes legales.

Por su parte, las principales consecuencias son:

• Materialización de incidentes de riesgo de ciberseguridad y riesgo operativo.
• Impacto en la reputación e imagen corporativa.
• Bajo cumplimiento regulatorio y de obligaciones contractuales.
• Impacto financiero debido a pérdidas por causa de los ataques.

Crear una estrategia fuerte de ciberseguridad para generar confianza con los clientes

Como lo indica el informe KPMG CEO Outlook 2021, el 79 % de los CEO y gerentes encuestados está de acuerdo en que proteger la cadena de suministro y su ecosistema es igual de importante que proteger la organización del riesgo de ciberseguridad para asegurar la continuidad operativa y lograr las metas organizacionales.

Además, el 75 % de los encuestados afirma que es de suma importancia crear una estrategia fuerte de ciberseguridad para generar confianza con los clientes.

Afirma Silgado:

Es importante construir cultura corporativa dentro de la organización y tener una postura de ciberseguridad fuerte desde la junta directiva, lo cual permite generar cultura con un enfoque top-down mediante el cual toda la organización sea consciente de la importancia de la ciberseguridad.

Desde su punto de vista, las juntas directivas necesitan entender que la ciberseguridad es también su responsabilidad, al igual que es responsabilidad de los directivos, colaboradores y áreas de ciberseguridad de la organización.

Si los altos cargos se apropian de la importancia que tiene la ciberseguridad, en cascada la organización también lo hará.

Acciones que deben llevar a cabo las juntas directivas en pro de la ciberseguridad

Existen algunos puntos que Silgado recomienda a las juntas directivas para contrarrestar los ciberataques con base en el rango de acción que una organización pueda emplear:

• Hacer capacitaciones con las juntas directivas y los equipos de trabajo para entender las amenazas y los retos que existen.
• Crear simulaciones de ciberataques en las que participe la junta directiva. Esto ayudaría a sensibilizar y entender más fácilmente los riesgos de ciberseguridad de la organización y cómo responder ante ellos.
• Incluir dentro de las agendas de las juntas directivas de manera recurrente la visibilidad de lo que se hace en la organización, y tener control con trazabilidad.
• Crear indicadores de gestión de desempeño y de riesgo para que las juntas directivas puedan medir las acciones.
• Contar con un manual de gestión de crisis de ciberseguridad socializado, apropiado y aprobado por la junta directiva.
• Tener un enfoque de apropiación de la ciberseguridad desde el tope hasta abajo.
• Aprobar y mantener un presupuesto destinado a gestionar adecuadamente la ciberseguridad basado en el riesgo de la organización.

Material relacionado

• [Análisis] Mujeres en juntas directivas: su inclusión es sinónimo de mayores ganancias para las empresas
• [Análisis] Gobierno corporativo: empresas familiares en Colombia y relevancia de la mujer en juntas directivas
• [Análisis] Firmas de contadores públicos: ¿cómo han reaccionado frente a los ataques cibernéticos?