La ciberseguridad, un desafío para la alta dirección

En mayo de 2017, un virus conocido como WannaCry secuestró los datos de organizaciones en más de 150 países. Los ciberatacantes solicitaron un pago económico para la recuperación de la información. Tres años más tarde, los ciberataques han crecido en España un 125%, con una media diaria, según varios estudios, que alcanza los 40.000 ciberincidentes. Además, estas ciberamenazas han incrementado su complejidad y sofisticación, lo que agrava este riesgo.

En este contexto, el Covid-19 ha supuesto una oportunidad para los ciberdelincuentes. El desarrollo tecnológico, la pandemia y la regulación actual promovida por la Unión Europea, que apuesta por incrementar la responsabilidad de las organizaciones para garantizar y demostrar el cumplimiento de las normas y la transparencia, han posicionado la ciberseguridad como una necesidad para las compañías y, por ende, como un ámbito más sobre el que tomar decisiones por parte de la alta dirección.

Cuando una organización sufre un ciberincidente, las consecuencias trascienden al impacto del propio ataque, ya que pone en riesgo la confianza de los stakeholders, su reputación, la credibilidad y el desarrollo de negocio de la compañía. Por ello, los órganos de gobierno de las organizaciones deben avanzar en su capacidad de resiliencia casi al mismo ritmo que lo hace la tecnología, lo que supone un importante desafío.

La implicación de la alta dirección juega un papel clave para fortalecer el talón de Aquiles que ha dejado la pandemia en las compañías. Aquellas que tomen conciencia sobre los riesgos a los que están expuestas y adopten decisiones para protegerse ante ellos, estarán mejor preparadas. En general, los Consejos de Administración han ido incorporando progresivamente perfiles técnicos que permiten la supervisión de este riesgo de forma más efectiva, atendiendo a la necesidad de diversificación del talento de los consejeros. No obstante, aún existe un amplio camino que recorrer en este ámbito ya que, en muchas ocasiones, su gestión y supervisión se circunscribe únicamente al comité de dirección.

Dentro de este margen de mejora, el compromiso del Consejo de Administración con la ciberseguridad debería ser el primer paso. Esta implicación se tiene que poner de manifiesto en que los órganos de gobierno aborden la ciberseguridad en sus comités y reuniones y que dispongan de los medios necesarios para ejercer esa supervisión esperada. En términos generales, es un tema que se trata con periodicidad anual en el 46% de estos órganos, mientras que solo el 5% lo analiza como tema recurrente en cada reunión. Un porcentaje que, sin lugar a duda, debería incrementarse y que pone de manifiesto la necesidad de consolidar a la ciberseguridad como tema habitual en la agenda del Consejo.

La concienciación es, hoy en día, más prioritaria que nunca y requiere de poner en marcha iniciativas de educación y sensibilización. La altadirección tiene la responsabilidad de fomentar el conocimiento de los empleados en materia de seguridad. La gran mayoría de los ciberdelincuentes consiguen su objetivo por un fallo humano o descuido de uno de los empleados, por lo que es conveniente incrementar la formación de los profesionales y llevar a cabo simulacros, para que las plantillas puedan ejercitar su reacción ante situaciones de esta índole y aprendan cómo prevenir un ciberataque o, si han sido víctimas, sepan cómo responder ante él.

Este conocimiento es indispensable que también se encuentre en los propios miembros del Consejo. Afortunadamente, y como comentábamos con anterioridad, cada vez es más frecuente que, al menos, uno de los miembros de los órganos de gobierno de las organizaciones haya tenido o tenga experiencia en el ámbito de la ciberseguridad, lo que supone un activo estratégico en la protección de la compañía y en la salvaguarda de la continuidad de negocio. Este valor empieza a ser percibido como un requisito prioritario para la incorporación de nuevos consejeros, tal como se pone de manifiesto en un 10% de los consejos. Un porcentaje que irá creciendo en los próximos años.

La transparencia es otro factor clave en la ciberseguridad, que tiene un efecto directo en la generación de confianza por parte de los stakeholders. En la actualidad, la información en materia de seguridad que la propia organización hace pública y comunica externamente se puede agrupar en los siguientes bloques temáticos: las actividades de supervisión del Consejo y resto de órganos de gobierno de todo lo concerniente a la seguridad informática; el compromiso de estos órganos en la gestión de la ciberseguridad; el conocimiento y experiencia de los miembros del Consejo en este ámbito; y, entre otros temas, las políticas, procedimientos y programas de gestión de riesgos de la compañía.

La comunicación de todos los aspectos vinculados con la ciberseguridad de una organización es, cada vez más, importante. En este sentido, prácticamente una de cada cinco compañías de gran capitalización ha recibido peticiones de sus accionistas para entablar contacto directo con la dirección por algún asunto vinculado con la seguridad informática.

Por todo ello, la ciberseguridad ya no es una opción. Es la única manera de garantizar la salvaguarda de la información y de proteger activos intangibles, como la reputación de la compañía. En este importante desafío, el Consejo de Administración debe involucrarse y transmitir su compromiso al comité de dirección y al resto de los empleados, para minimizar el impacto en su modelo de negocio

Rubén Frieiro/ Xavier Angrill es Socio de Risk Advisory especializado en Ciberseguridad/ Socio responsable del Centro de Excelencia de Gobierno Corporativo de Deloitte