Llegamos a ustedes gracias a:



Columnas de opinión

¿Se están gestionando los ciber riesgos en los gobiernos corporativos?

Por: Andrés Cargill M., CEO de Soluciones Orión

[11/07/2019] Una estrategia de ciberseguridad efectiva y proactiva debe ser supervisada por el Directorio de las compañías, como parte de la gestión de su matriz de riesgo. Al igual que con otros factores que componen esta matriz, el Directorio debe establecer sus expectativas, demarcar la responsabilidad de administración y garantizar que haya presupuesto, además de los recursos humanos necesarios, y un enfoque adecuado para gestión de los ciber riesgos.

En el Perú y el mundo, hoy son pocos los Directorios donde este tema se aborda de manera específica y con el nivel de atención que requiere la protección del activo más importante de una empresa: su información.

En Europa, el Reglamento General de Protección de Datos (GDPR en inglés) impulsó varios cambios respecto a cómo gestionar los ciber riesgos, considerando que las multas pueden alcanzar los 20 millones de euros o el 4% de la facturación anual. En nuestro país, aún estamos a tiempo de hacerlo de manera proactiva.

Por eso es fundamental que la Alta Dirección y la plana ejecutiva tenga total claridad respecto a qué datos trata la empresa, cómo los obtiene, procesa y almacena; quién tiene acceso a ellos; qué legislación están de obligados a cumplir y qué medidas de seguridad de la información tienen implementadas para todo el ciclo de vida de los datos. Junto con ello, es prioritario que dentro de los gobiernos corporativos se informe cuál es la responsabilidad legal que puede alcanzar a los Directores en el caso que sufran una ciber ataque que comprometa sus datos, donde los hackers pueden ser agentes externos o incluso insiders.

En países con legislaciones más maduras que la del Perú, los Directorios que han avanzado con éxito en la gestión de sus ciber riesgos tienen un factor en común: los han sumado a su matriz de riesgo con el mismo nivel de importancia que los procesos financieros. Muchos de ellos incluso han visto esta nueva forma de gobernanza como una ventaja competitiva.

Considerando todas las áreas de la compañía que puede impactar una ciber crisis, los Directorios que ya han vivido esta experiencia -y algunos más proactivos-, están replicando los mismos procedimientos de gobernanza que les han resultado eficaces para evaluar y validar con exactitud y confiabilidad sus riesgos financieros para supervisar la ciberseguridad, asignando responsabilidades claras para la gestión de ciber riesgos a nivel de gobierno corporativo.

Son Directorios que han validado que los ciber riesgos son más que un simple problema de TI y que tienen importantes ramificaciones legales, por lo que su supervisión debe ser un tema de discusión regular en las juntas. Para ello es recomendable crear un comité de ciber riesgos en aquellas empresas donde el componente digital es muy relevante, o al menos incorporarlo en el comité de riesgos, reportando directamente a la Alta Dirección.

Asimismo, se han asegurado que los CEOs y otros altos ejecutivos implementen un marco efectivo de riesgo cibernético para la empresa, garantizando que se haga una determinación específica de qué aspectos de los riesgos de ciberseguridad se deben aceptar, evitar, mitigar o incluso asegurar. ¡Ése es el camino!

CIO, Perú