Ante un riesgo por desastre natural, como lo es un sismo de gran intensidad, muchas empresas cuentan con un plan de reacción ante dicho fenómeno. En estos casos no solo el área de recursos materiales es la responsable de la seguridad integral de todos y todo.
Con la cantidad de ataques informáticos reportados diariamente, incluyendo el ataque a la base de datos de Yahoo que impactó a cientos de millones de clientes, la pregunta sobre el nivel de riesgo informático que corremos todos diariamente es más importante que nunca. A la fecha, observo una tendencia preocupante en ver los ataques informáticos como fundamentalmente diferentes y separados de otros riesgos organizacionales. O simplemente verlos como un problema de TI más en manos de expertos.
Sólo porque algo sea complejo y altamente técnico, no absuelve a la alta dirección de su responsabilidad. Eso incluye a la CEO de Yahoo Marissa Meyer, así como miembros de una junta en cualquier otra industria, con la responsabilidad de proteger a sus organizaciones de complicados riesgos asociados con la calidad, seguridad de los usuarios y evolución de las innovaciones propuestas.
La ciberseguridad no puede ser ignorada o tratada de manera separada de los liderazgos senior dentro de las organizaciones. Porque, si ocurre, ¿quién realmente tiene la responsabilidad de la administración de los riesgos?
El rol y responsabilidad de los consejos de administración
Muchos consejos delegan la ciberseguridad a un comité de auditoría de riesgos. Otro acercamiento como una prioridad estratégica separada o como parte de una estructura de gobierno corporativo de administración de riesgos. Algunos ni siquiera lo tienen considerado.
El tamaño, la industria y la complejidad empresarial de una organización a menudo dictan el enfoque. Por ejemplo, la junta directiva de un banco probablemente adoptaría un enfoque diferente al gobierno, en materia de seguridad cibernética a la que tal vez, una compañía minera con maquinaria y sistemas de control extensos pondría en marcha.
Independientemente del enfoque, al igual que las juntas son responsables en última instancia y legalmente responsables de supervisar la salud, los sistemas y los controles financieros de una organización, también son responsables de proporcionar dirección estratégica de gestión de riesgos al liderazgo senior, así como supervisión de sistemas, Procesos y controles relacionados con la ciberseguridad.
Aunque es posible que los miembros de la junta directiva no tengan que ser capaces de escribir reglas para el firewall, ciertamente necesitan alcanzar y mantener un nivel aceptable de "alfabetización en seguridad cibernética". Y necesitan asegurar el cumplimiento de sus responsabilidades de gobierno, supervisión y fiduciario haciendo de la ciberseguridad una prioridad estratégica y responsabilizar a la gestión de la gestión y la presentación de los resultados.
La Asociación Nacional de Directores Corporativos ha destilado muy bien estas responsabilidades hasta cinco principios:
PRINCIPIO 1: Los directores deben entender y abordar la ciberseguridad como un problema de gestión de riesgos en toda la empresa, no sólo un problema de TI.
PRINCIPIO 2: Los directores deben comprender las implicaciones legales de los riesgos cibernéticos en relación con las circunstancias específicas de su empresa.
PRINCIPIO 3: Las juntas deben tener un acceso adecuado a la experiencia en ciberseguridad, y las discusiones sobre la gestión del riesgo cibernético deben recibir un tiempo regular y adecuado en la agenda de la junta directiva.
PRINCIPIO 4: Los directores deben establecer la expectativa de que la administración establecerá un marco de gestión del riesgo cibernético para toda la empresa con personal y presupuesto adecuados.
PRINCIPIO 5: El debate de la Junta sobre la gestión del riesgo cibernético debe incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir a través de seguros, así como los planes específicos asociados a cada enfoque.
El Rol y la Responsabilidad del CEO
Si bien el consejo es responsable de proporcionar dirección estratégica y supervisión, el CEO es en última instancia responsable ante el consejo de administración operacional del riesgo de seguridad cibernética y la implementación de políticas, procedimientos y controles para asegurar que estos objetivos se están cumpliendo. Esta responsabilidad incluye reportar al consejo de manera oportuna, transparente y detallada.
A menudo, el CEO se apoya con el director de información (CIO) o, si la organización es más grande y más compleja, posiblemente con el director de seguridad de la información (CISO) para reportar trimestralmente o anualmente a la junta. Estas presentaciones a veces pueden tomar la forma de garantías de que "todo está siendo hecho" y también pueden incluir métricas e indicadores clave de rendimiento como puntos de datos para su revisión.
En los casos dónde este enfoque no es adecuado para una buena gobernanza, donde no se pudieran cumplir con los indicadores clave de desempeño o se produjera una violación efectiva. El CEO no puede transferir la responsabilidad sobre los hombros del CIO o CISO y echar la culpa con el departamento de TI. Éste sería el equivalente del CEO que difería al CFO para presentar un informe financiero triste al tablero y culpar al departamento de contabilidad de una disminución drástica de los ingresos.
La incapacidad de un CISO para cumplir con los indicadores clave de desempeño podría deberse a una prioridad presupuestaria insuficiente dada a la ciberseguridad en general o, alternativamente, una drástica disminución en los ingresos podría haber resultado de la pérdida de confianza del consumidor debido a una violación de seguridad o privacidad. Hoy en día, no hay manera de separar la seguridad cibernética de todos los demás objetivos estratégicos y las operaciones de cualquier organización, independientemente de su complejidad.
Además, cada unidad de negocio o departamento debe también abarcar la ciberseguridad como un imperativo y prioridad comercial. La medida en que lo hagan será un reflejo directo del nivel de prioridad estratégica que le ha dado tanto el directorio como el CEO.
Junto con establecer el "tono apropiado desde arriba", el CEO debe proporcionar dirección y resolver conflictos relacionados con prioridades departamentales conflictivas. Por ejemplo, el marketing y las ventas pueden querer asegurarse de que un producto es fácil de usar e insistir en eliminar la fricción a la adopción del usuario, como la autenticación de segundo factor u otras mejoras de seguridad exigidas por la ingeniería del producto que pueden impedir que un consumidor potencial elija y compre el producto o servicio.
Equilibrar la necesidad de impulsar la adopción y, en consecuencia, los ingresos frente a la necesidad de proteger a los clientes y la organización y por lo tanto la marca no es una decisión que puede ser tomada por la gestión de primera línea. Tampoco deben asumir la responsabilidad.
En última instancia, no hay escapatoria a la realidad de que el consejo es responsable de la supervisión y la dirección estratégica de la seguridad cibernética, mientras que el CEO es dueño de la responsabilidad de la gestión operacional. Sin embargo, estas responsabilidades deben alinearse e integrarse en todas las demás decisiones estratégicas y operativas de negocios.
En consecuencia, el departamento de TI o el CISO son responsables de las actividades cotidianas necesarias para implementar, administrar e informar sobre el riesgo de ciberseguridad y deben reportar directamente a un miembro del equipo de liderazgo o directamente al director ejecutivo que puede supervisar el programa de seguridad cibernética de la empresa La toma de decisiones, ya quien el consejo puede mirar como responsable de la ciberseguridad.
Entonces, ¿Quién es responsable de la gestión del riesgo de seguridad cibernética?
¿La pregunta se responde mejor en términos de quién posee
riesgo financiero dentro de la organización? ¿O quién posee el riesgo de seguridad del paciente? ¿O quién posee el riesgo asociado con el valor del accionista? Cada organización puede adoptar un enfoque diferente para responder a estas preguntas, pero elevar el riesgo de ciberseguridad al nivel estratégico de estas otras categorías de riesgo, reconociendo que también se intersecta significativamente con todas estas otras categorías de riesgo y tratarla como una prioridad estratégica en todos los niveles de la organización ya no es opcional.