Llegamos a ustedes gracias a:



Columnas de opinión

Gobernar o no gobernar

Por Richard Power, miembro distinguido de Carnegie Mellon CyLab.

[11/01/2009] Un nuevo estudio de CyLab pone de relieve los huecos en la supervisión de la seguridad y privacidad por parte de los consejos corporativos.

El cambio de milenio con el paso del siglo XX al XXI ha significado la transición desde la era industrial a la era de la información y de los mercados nacionales y regionales a la globalización, entendida como mundialización, de los mercados. Estas transformaciones traen consigo nuevos y profundos retos para los miembros de los consejos corporativos y ejecutivos de nivel C de cualquier sector económico.
Durante las dos últimas décadas, una serie de diversos e intensos shocks -algunos económicos, otros políticos, otros medioambientales, otros tecnológicos y aún otros relacionados con la naturaleza del delito o con la seguridad de la energía- han obligado a los líderes empresariales a adoptar un nuevo enfoque sobre la forma de gobernar sus negocios.
Ya no basta con que los miembros de los consejos corporativos garanticen la rentabilidad de la empresa, sino que más allá de ella, deben asegurar su capacidad de sobrevivir en el nuevo entorno. Con el siglo XXI, las fuerzas gemelas de la economía global y el ciberespacio han llegado para dominar nuestras vidas y cambiar la matriz del riesgo de los negocios; esta matriz, por ejemplo, se ha ampliado y profundizado, haciendo la supervivencia de las corporaciones vulnerable a amenazas de una nueva naturaleza, que trascienden la pura rentabilidad.
El mundo en general, y su comercio y comunicaciones en particular, se encuentran hoy integrados y se manifiestan interdependientes en formas sin precedentes. Unas integraciones e interdependencias que traen consigo al mismo tiempo seductoras oportunidades y peligrosos nuevos retos.
Los últimos titulares del año 2008 han estado dominados por noticias como la crisis de la economía mundial, los ataques terroristas en Bombay, o el éxito de los piratas somalíes en hacerse, en cuestión de quince minutos, con el control de un buque petrolero saudita valorado en 100 mil millones de dólares. Todas ellas íntimamente relacionadas con la globalización.
Pero esta cadena de extraordinarias circunstancias no constituye una anomalía cuya explicación haya de dejarse en manos de los astrólogos. No, no se trata de una rara coincidencia, sino simplemente de la aceleración de una tendencia de la que llevamos siendo testigos desde hace dos décadas.
Consideremos varios ejemplos de las muchas catástrofes-algunas naturales, otras no- en que se ha manifestado esta tendencia y algunas de las cuales han sufrido en carne propia determinadas empresas: la crisis financiera asiática de los años 90; la ola terrorista iniciada con los ataques del 11-S en Nueva York; los escándalos de las grandes multinacionales Enron, Arthur Andersen y World Com; el auge del cibercrímen organizado en Rusia y Asia; el huracán Katrina; el terremoto y el tsunami que asolaron el Océano Índico en el 2004; los escándalos de espionaje corporativo (p.e. el caso de Haephrati o el de Hewlett-Packard), etc.
Algunos de estos acontecimientos han implicado actividades y sucesos sobre los que los consejos directivos tienen al menos cierta influencia, como aquellos enraizados o derivados de errores de juicio o deslices éticos en la parte de los empleados o agentes de mayor o menor nivel. Otros, claramente, como los ataques terroristas o los desastres naturales, son el resultado de fuerzas y circunstancias que escapan al control de los consejos corporativos.
Pero incluso en estos últimos casos es responsabilidad de estos consejos el comprender lo que debe hacerse para evitar lo evitable, y preparar a la empresa para lo que pueda prepararse, así como supervisar la implementación de tales medidas preventivas o reactivas. Cualquiera de los acontecimientos citados justifica por sí mismo la necesidad de que los consejos directivos examinen y modifiquen su aproximación al gobierno -control de riesgos, seguridad y privacidad. Y, en conjunto, constituyen un llamamiento a las armas para conseguir una reorganización más completa, detallada y global de la forma en que los responsables empresariales llevan a cabo su supervisión de riesgos, seguridad y privacidad.
Los secretos del buen gobierno
Fue la contemplación de lo que Shakespeare denomina los mil y un shocks naturales lo que llevó a su personaje Hamlet a plantearse a sí mismo la pregunta existencial ¿ser o no ser?. De igual manera, los mil y un shocks naturales de los que forman parte los acontecimientos antes mencionados y que se encierran en las más oscuras profundidades de la matriz de riesgos propia del siglo XXI pueden muy bien obligar a los desesperados miembros de los consejos corporativos a plantearse la pregunta: ¿gobernar o no gobernar?. La respuesta es, por supuesto, en el primer caso, ser, y, en el segundo gobernar.
Pero ello nos lleva a otra pregunta urgente e importante: ¿cómo gobernar de la mejor manera posible?; es decir, de la manera más sabia, eficiente y proactiva. Para llegar a algunas respuestas valiosas a esta cuestión de vital importancia, he colaborado en la con el internacionalmente reconocido especialista en gobernabilidad y riesgos Jody Westby, CEO de Global Cyber Risk y miembro distinguido de Carnegie Mellon University CyLab, en la creación de CyLab Governance of Enterprise Security Survey.
Se trata de un estudio sobre gobierno de la seguridad empresarial que pretende descubrir la forma en que las corporaciones están realmente buscando la respuesta a la pregunta sobre la mejor forma de gobernar su seguridad en sentido amplio. En él se sugieren además algunas formas de mejorarla, al menos en lo que se refiere al ciber-riesgo (quizá la más peligrosa, penetrante, esquiva y subestimada de todas las amenazas que hoy se ciernen sobre la seguridad de las empresas).
Basándose en los datos facilitados por 703 individuos -principalmente directores independientes- que trabajan para consejos corporativos de compañías estadounidenses que cotizan en bolsa, esta investigación concluye que solo el 37% de las entidades tomadas como muestra considera la supervisión de crisis y riesgos como de importancia crítica. El grado en que los miembros de los consejos corporativos se mantienen al margen de las actividades que constituirían una supervisión importante de tal dimensión resulta también asombroso. Basta tener en cuenta, a modo de ejemplo, las siguientes conclusiones de este estudio:
- Los Consejos solo se implican en las revisiones de conformidad con cuestiones de privacidad el 19% del tiempo; en las valoraciones de riesgo relacionado con las TI o datos personales, el 31% del tiempo; y en los planes de notificación de brechas de seguridad, solo el 21% del tiempo.
- El 56% de los entrevistados dijo que solo rara u ocasionalmente revisaban y aprobaban las políticas de alto nivel relativas a los riesgos de seguridad y privacidad. Un 23% adicional reconoció no haberlo hecho nunca.
- El 62% de los participantes en el sondeo aseguró que solo ocasional o raramente habían recibido informes de la dirección de nivel senior sobre los riesgos de seguridad y privacidad. Otro 15% dijo no haberlos recibido nunca.
 Es imposible que un consejo de directores ejercite su supervisión sobre la seguridad de la información eficazmente si no revisa y aprueba al menos las políticas, roles y responsabilidades de alto nivel, así como los presupuestos anuales relacionados con la seguridad de la información en sus organizaciones.
Ausencia de roles de alto nivel
Tampoco resultan más tranquilizadores los datos sobre el nivel C de las organizaciones sondeadas. Los resultados del estudio revelan una preocupante carencia de roles de altos ejecutivos (nivel C) dedicados a la mitigación de los riesgos para la seguridad y la privacidad dentro de las empresas. En este sentido, cabe señalar los siguientes datos:
- Solo el 30,21% tiene Chief Information Security Officers (CISO) o responsables de alto nivel para la seguridad de la información.
- Solo el 27,38% cuenta con Chief Risk Officers (CRO), directores de nivel C específicos para la gestión de riesgos.
- Solo el 16,10% dispone de Chief Security Officers (CSO), responsables de alto nivel para la seguridad, en sentido global, corporativa.
- Solo el 7,38% incluye en su organigrama el puesto de Chief Privacy Officers (CPO), o directores de nivel C para la privacidad.
Westby, autor principal de este estudio, extrae de estos y otros resultados varias conclusiones importantes. En primer lugar, los consejos directivos -especialmente aquellos de compañías de infraestructura crítica- necesitan mejorar su comprensión de lo riesgos asociados a las TI, especialmente, los relativos a la seguridad y la privacidad. Además, este experto advierte que se da poco valor a la responsabilidad corporativa como una cuestión de gobierno, una cuestión que debería incluir el esfuerzo de las empresas por ser buenos ciberciudadanos.
Por otra parte, Westby llama la atención sobre el elevado número de organizaciones que carecen de ejecutivos en puestos clave para la privacidad y la seguridad, y la escasa cantidad de ellas que introduce una separación funcional entre las responsabilidades de seguridad y privacidad. Son, además, demasiadas las que carecen de equipos de alcance corporativo, cuyas competencias crucen las fronteras departamentales. Circunstancias todas ellas que, según Westby, constituyen errores importantes para una gobernabilidad eficiente.
Westby subraya asimismo la existencia de grandes huecos en los programas de seguridad empresarial y de áreas de los mismos que no se encuentran en línea con los estándares y mejores prácticas al respecto internacionalmente aceptados, lo que deja a las empresas en una situación de indefensión, tanto legal como técnica.
Los resultados del sondeo de CyLab ofrecen un interesante contrapunto a los de otra investigación que desarrollé con colegas del FBI Computer Crime Squad en 1995. Se trata de CSI/FBI Computer Crime and Security Survey, cuyo objetivo era aumentar la conciencia sobre la naturaleza y el alcance del cibercrimen y la necesidad de informar a las fuerzas de seguridad de los incidentes que pudieran afectar a las corporaciones. CSI/FBI Survey también disipó algunas nociones falsas sobre el ciber-riesgo y la seguridad, y aportó la primera instantánea de las tendencias que empezaban a dominar el lado oscuro del ciberespacio.
Mostró que la amenaza externa estaba aumentando rápidamente, y que era una peligrosa ingenuidad seguir considerándola como un problema mucho menos serio que la amenaza interna. Puso de manifiesto también que el cibercrímen había dejado de ser un acontecimiento ocasional, que ya no se limitaba al hacking juvenil o a los ataques de virus, y que algunas organizaciones estaban sufriendo serias pérdidas financieras consecuencia de él. Todas estas conclusiones, consideradas entonces por muchos como heréticas, han demostrado ser ciertas con el tiempo transcurrido desde entonces.
Bien, pues probablemente CyLab Governance of Enterprise Security Survey sea hoy tan importante como entonces lo fue CSI/FBI. En aquel momento, el reto más urgente era superar la negación del hecho y conseguir el reconocimiento de los riesgos que empezaban a perfilarse entre las sombras digitales. Hoy, lo más importante es reconocer y, después, asumir en consecuencia nuestra responsabilidad en la mitigación de tales peligros. Y el auténtico proceso de mitigación puede empezar por el portal Internet o dentro del kernel del sistema operativo, pero siempre en la sala de juntas del consejo directivo.
Los líderes de negocio que acepten con seriedad su responsabilidad y se esfuercen por mitigar el ciber-riesgo, no escatimarán recursos para llenar los peligrosos huecos de gobernabilidad existentes en sus programas para así conseguir garantizar en el actual contexto la privacidad y la seguridad de sus negocios.
Cinco recomendaciones básicas
El informe de CyLab incluye una serie de diez recomendaciones dirigidas a las organizaciones del nuevo siglo. De ellas, las cinco principales son las siguientes:
1) Establecer un Comité de Riesgo ejecutivo. Este comité debe ser diferente del Comité de Auditoría dentro de la empresa y ha de asignársele responsabilidad real sobre los riesgos empresariales, incluidos los riesgos TI.
2) Separar los roles de seguridad y privacidad dentro de la organización y garantizar que las responsabilidades de cada uno de ellos están adecuadamente asignadas.
3) Evaluar la estructura organizacional existente y establecer un equipo interdepartamental, de alcance corporativo. Éste deberá reunirse al menos una vez al mes para coordinar y comunicar la situación y evolución de los asuntos relacionados con la privacidad y la seguridad. Sus miembros deberían incluir a la directivos senior de las áreas de recursos humanos, relaciones públicas, y legales, así como a los máximos responsables financieros (CFO), de información (CIO), CISO/CSO (o CRO), CPO y ejecutivos de las líneas de negocio.
4) Desarrollar políticas de más alto nivel o revisar las actuales si ya existieran para crear una cultura de seguridad y respeto a la privacidad de la información.
5) Revisar el programa de seguridad corporativa y asegurar su cumplimiento y eficacia.
El informe completo de CyLab puede descargarse del sitio de la organización.
CIO, España