Toda junta directiva debe conocer el perfil de riesgo cibernético organizacional, pero eso no significa que siempre deba tomar decisiones técnicas para mitigar riesgos, sino entender cuáles son los activos críticos, las amenazas relevantes a su entorno y el potencial impacto en el negocio.
Durante los últimos años, el aumento en el nivel de conciencia en materia de ciberseguridad ha llevado a algunas organizaciones a incluir la discusión sobre el tema en la agenda de sus esferas directivas. Así lo confirma KPMG en su publicación Juntas Directivas Eficientes.
En Colombia, según la Encuesta Nacional de Seguridad Informática realizada por la Asociación Colombiana de Ingenieros de Sistemas –Acis–, el 29 % de los encuestados manifiesta que sus niveles directivos entienden y atienden recomendaciones en materia de seguridad. Sin embargo, el alcance, enfoque, lenguaje y profundidad con los que debería tratarse el tema en este nivel no son tan fáciles de definir, haciéndolo complejo, aparentemente irrelevante por su alto contenido técnico y, en ocasiones, abrumador.
«La ciberseguridad requiere atención de directivos y ejecutivos, pero debe ser abordada de manera apropiada, de acuerdo con el tamaño y naturaleza de la organización. Así, los líderes de las organizaciones pueden guiar a los especialistas técnicos en su trayectoria, considerando los elementos más relevantes para el negocio, haciendo las preguntas correctas y tomando decisiones conscientes e informadas», indica KPMG en la publicación.
KPMG indica que la respuesta a esta pregunta se resume en tres tendencias: mayor uso y dependencia de tecnologías de la información y comunicación –TIC–; aumento en la cantidad y gravedad de los incidentes de ciberseguridad ocurridos, y nuevos requerimientos regulatorios aplicables.
«Al existir una mayor dependencia de las organizaciones en las TIC, indudablemente aumentan la posibilidad de ocurrencia y el potencial impacto de daños causados sobre estas. Se estima que el ciberfraude en Colombia cuesta alrededor de un billón de pesos colombianos, y solo en fraudes bancarios, clonación y robo de credenciales, se estima que por cada 10.000 pesos que se muevan por una cuenta, 20 se pierden por fraudes”, indica KPMG.
Los inversionistas, el Gobierno y los consumidores esperan cada vez más que las organizaciones demuestren diligencia en materia de ciberseguridad. No hay dos organizaciones iguales y, por ende, cada una debe ajustar a su medida la gestión de ciberseguridad.
«La ciberseguridad es un tema de preocupación para la junta directiva por el potencial impacto que puede tener en el negocio. El número y gravedad de los incidentes de seguridad, así como los entes de supervisión y clientes, contribuyen a la necesidad de incluirla en la agenda directiva. Pero debe ser tratada en la justa medida, según la realidad de la organización y su apetito de riesgo, y con apoyo de indicadores que permitan que la comunicación entre las áreas tácticas y operativas en ciberseguridad y la junta sea efectiva y oportuna», concluye KPMG alrededor de este ítem.