Responsabilidad por la seguridad cibernética

Mayo 13, 2016 - Noticias, Publicaciones

Compartir

El 1.° de mayo, en un blog publicado en el Foro de la Escuela de Leyes de Harvard, acerca de la gobernanza corporativa y la regulación financiera, Paul Ferillo hablaba de los resultados de una encuesta publicada un mes antes por Nasdaq y la consultora Tanium.

Los encuestados fueron directores externos y ejecutivos del más alto nivel de empresas en Estados Unidos, el Reino Unido, Japón, Alemania, Dinamarca y los países nórdicos, acerca de la responsabilidad por la seguridad cibernética ( cybersecurity ).

El estudio buscaba contestar tres preguntas básicas: 1. Cómo evalúan los entrevistados las vulnerabilidades de sus empresas respecto a las amenazas cibernéticas. 2. Cómo evalúan la preparación de sus empresas para enfrentar estas amenazas. 3. Quiénes en la organización son los responsables de enfrentar estas vulnerabilidades.

Excepto en EE. UU. y el Reino Unido, el conocimiento y la conciencia sobre lo que significa la seguridad cibernética se reportan como muy bajos, lo cual no es un buen presagio dado el aumento global del cibercrimen y el ciberterrorismo. Resultados puntuales señalan que un 98% de los líderes empresariales no confían en que sus organizaciones puedan monitorear dispositivos y usuarios todo el tiempo, lo cual implica que la información está viajando “por lugares desconocidos”.

Un 91% de los directivos que respondieron son incapaces de interpretar un informe de seguridad cibernética, todo esto mientras el costo global del crimen cibernético sigue creciendo. El Foro Económico Mundial lo estima en $445.000 millones a escala global para este año.

Aunque los resultados para las empresas en EE. UU. y el Reino Unido son mejores que en los otros países, ellos también tienen muchas oportunidades de mejora. En Costa Rica no hay ningún motivo para suponer que estemos mejor que ninguno de los países en los que se condujo el estudio.

Pensamiento erróneo

A pesar de la publicidad que han recibido en años recientes incidentes catastróficos para empresas e instituciones, en los que la información y los datos se ven comprometidos, un 40% de todos los entrevistados admitieron no considerarse responsables por las consecuencias de un ataque cibernético.

Esto puede deberse a una actitud de “la culpa es de los de tecnología” o simple falta de entendimiento básico (de alguna manera sugerido por los resultados), pero en ambos casos es pensamiento erróneo.

Los directivos generalmente tienen la responsabilidad de supervisar la seguridad de las empresas e instituciones. La seguridad cibernética es, obviamente, una parte integral y sumamente importante de la organización, que no puede delegarse.

Solo un 68% de los entrevistados había, en alguna ocasión, evaluado los daños y pérdidas potenciales que podrían derivarse de un ataque cibernético. Es fácil suponer que en nuestro país esta cifra debe ser más alarmante.

Cabe destacar que ya hace casi tres años del robo de información de tarjetas de crédito en las tiendas Target, pero persisten brechas importantes en entendimiento, concientización y la evaluación de riesgos asociados a la seguridad cibernética.

Evaluación

No hay duda de que importantes preguntas se desprenden de los resultados de este estudio. ¿Cómo es posible ignorar o, pero aún, justificar la falta de comprensión del peligro que conlleva realizar operaciones en el ciberespacio? ¿Será falta de tiempo dedicado en las juntas directivas al tema de la seguridad cibernética? ¿Será falta de información relevante presentada por los ejecutivos de tecnología a las juntas directivas? ¿Será que pensamos que esos incidentes solo suceden en otros países y a otras organizaciones? ¿Será que a nosotros nos va a proteger la Virgen de los Ángeles?

Es imperativo que los altos ejecutivos y directores evalúen el impacto de la seguridad en la competitividad de empresas, instituciones y el país. La estrategia de seguridad digital e informática no debe delegarse. Los técnicos informáticos deben implementar la estrategia, pero es injusto pedirles que la definan. Este sería un error que puede costar caro.

Por ejemplo, la organización debe estar muy clara de que cada vez que ofrece nuevos servicios digitales aumenta la “superficie de ataque” expuesta, el riesgo relacionado con la tecnología y la información, y que las medidas de seguridad no deben ser incorporadas al final, sino diseñadas al principio, de acuerdo con los parámetros establecidos en la estrategia.

Bien empresarial

Un buen gobierno corporativo requiere prestar intensa atención a la información y a la custodia de la empresa, pues en esto reside su mayor ventaja competitiva.

De ahí la gran discusión que se está dando en el seno de las juntas directivas y entre los accionistas en relación con el valor y la custodia de la información, lo cual, si lo piensan un poco, representa una gran parte del valor tangible e intangible de una empresa.

En el Club de Investigación Tecnológica hemos tenido el tema de la seguridad muy presente, pero hemos fracasado en atraer a los altos jerarcas de empresas e instituciones a discutir el asunto. Pero no nos damos por vencidos. El próximo 20 de mayo tendremos un foro-almuerzo exclusivo para CEO y miembros de juntas directivas, dedicado a la seguridad y competitividad, donde contaremos con la participación de Peter Allor, Víctor Umaña y Gloriana Alvarado, expertos en estrategia de seguridad cibernética, competitividad y aspectos legales de la protección de datos, respectivamente.

La seguridad es demasiado importante para estar solo en manos de técnicos.

Artículo publicado en el periódico La Nación

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *