¿De qué forma debe actuar una junta directiva frente a los riesgos cibernéticos?

Desde el punto de vista de Asobancaria, las juntas directivas deben supervisar fortaleciendo el diálogo entre los encargados de la seguridad de la información y la prevención del fraude. Falta trabajar para responder ante las amenazas, y desarrollar una cultura de ciberresiliencia en las entidades.

En su informe Semana Económica 2019, del 16 de septiembre del año en curso, titulada El rol de las juntas directivas en la gestión de los riesgos cibernéticos, Asobancaria analiza los ciberataques como una amenaza para el sistema financiero.

«La naturaleza cambiante y el crecimiento del riesgo cibernético para las instituciones financieras exigen enfrentar efectivamente los desafíos desde el mayor nivel y de forma estratégica», indica la entidad en la publicación.

Frente a la ciberseguridad, las juntas directivas deben ejercer de forma efectiva la supervisión, favoreciendo y fortaleciendo el diálogo entre los gerentes de seguridad de la información y prevención del fraude, de forma tal que se cumplan los objetivos estratégicos de la organización.

A pesar de que las juntas han adquirido mayor conciencia del ciberriesgo en años recientes, hace falta trabajar en un conjunto de principios sobre cómo responder y desarrollar ciberresiliencia en sus organizaciones.

Asobancaria destaca una serie de componentes de la evaluación del riesgo cibernético propuestas en el Foro Económico Mundial, las cuales sirven de guía para los miembros de una junta directiva.

Activos

La junta debe tener una perspectiva sobre el inventario de los activos más importantes de la organización, el cual incluye sistemas de hardware y software, redes, e infraestructura para operar sus sistemas, así como la información de personas y recursos externos. Para una evaluación a nivel de junta, los activos deben ser agregados en categorías.

Pérdidas de los activos y su impacto

Se debe evaluar el impacto potencial de un incidente. Por lo tanto, cada activo priorizado identificado previamente debe ser evaluado bajo dimensiones como:

• Costo directamente asociado con el incidente, por ejemplo, pérdida financiera debida a datos de transacciones manipulados o pérdida en ventas.
• Costo indirectamente asociado con el incidente, por ejemplo, un daño a la reputación de la organización.
• Costo de investigar el incidente, por ejemplo, costo externo de asesores.

Luego de que las pérdidas potenciales y el impacto sean determinados, la probabilidad de un incidente debe ser evaluada con el objetivo de obtener el valor esperado del riesgo.

Vulnerabilidades

La combinación del nivel de amenaza y vulnerabilidades indica la probabilidad de que un incidente se materialice. Las vulnerabilidades pueden clasificarse en las siguientes categorías: personas y cultura; procesos y organización; y tecnología e infraestructura.

Algunas preguntas que deben plantearse en torno a estas categorías incluyen: ¿cuál es el nivel de conciencia y capacitación de nuestros empleados?, ¿nuestros empleados tienen la certeza de qué es seguro y qué no? y, ¿qué tan fácil sería tener acceso a información, modificar datos o hacer que no estén disponibles?

La junta debe ser consciente de que el patrón de riesgo de una empresa puede cambiar de repente y necesita ser actualizado continuamente por la administración, basado en cambios como la introducción de nuevas tecnologías, que pueden aumentar las oportunidades de ataque por parte de nuevos agentes de amenaza.

Los riesgos cibernéticos deberían ser parte de la agenda estándar de las reuniones de la junta. De igual manera, la gerencia debe reportar los cambios en los patrones de riesgo, las medidas de mitigación correspondientes y la exposición al riesgo residual.

Amenazas

La junta debe considerar las amenazas en el contexto de los negocios actuales y futuros, y determinar su relevancia para la organización en una escala de bajo a alto. Cada grado en la escala asigna la probabilidad de que se realice un ataque contra la organización (hacktivismo, error humano, terrorismo, entre otros).

El área de seguridad de la empresa debe contar con un servicio de inteligencia de amenazas cibernéticas que pueda identificar los agentes de amenaza que podrían llegar a impactar a la entidad. Este servicio puede ser contratado con un tercero o con recursos propios de la empresa.

Una vez evaluadas las amenazas y vulnerabilidades, la junta directiva debe combinar los cuatro elementos expuestos anteriormente y preguntarse: ¿cuáles son los activos más importantes identificados en el paso 1?, ¿cuáles serían las pérdidas potenciales de estos activos si sufren el mayor nivel de impacto?, ¿qué combinación de vulnerabilidades y amenazas podría derivar en una pérdida?, y ¿qué tan probable es que se dé esa combinación?

A partir de este análisis la junta directiva podrá determinar el nivel de impacto y la probabilidad de los riesgos cibernéticos, y así ubicarlos con mayor precisión.

Material relacionado

• [Análisis] ¿De qué forma los colombianos pueden blindarse contra el cibercrimen?
• [Análisis] ¿De qué forma el bullying y ciertos conflictos perjudican el funcionamiento de una junta directiva?
• [Análisis] Participación e inclusión de la mujer en juntas directivas empresariales, ¿cómo va Colombia?