La Gestión del Riesgo Tecnológicos y la toma decisiones informadas por parte de los Directores de Empresas

Si bien hoy en día, la gestión de los riesgos tecnológicos pareciera no ser parte fundamental para el adecuado desarrollo de la empresa, en el último tiempo, la adopción masiva de la tecnología, bien sea voluntaria u obligatoria producto de la pandemia, se ha cuestionado cómo la alta gerencias, directorios y gerencias, incluso aquellas especializadas, como el Chief Technical Officer -CTO- perciben o bien se informan respecto de estos riesgos.

Es crucial entender que, como cualquier otro riesgo, debe existir una decisión consiente de cómo manejarlo. ¿Qué nivel de tolerancia al riesgo posee nuestra organización?, ¿cómo mediremos estos riesgos?, una vez que tengamos claro nuestro nivel de riesgos, ¿qué medidas tomaremos para controlarlos o mitigarlos? Seguramente todas estas preguntas tendrán una respuesta inmediata en el departamento de TIC, pero, por otra parte, ¿el gobierno corporativo se encuentra alineado con todas sus áreas y riesgos? Parte importante de entender y llevar a cabo la transformación digital es comprender que las amenazas y vulnerabilidades son igual (o más) importantes que los riesgos materiales o tangibles, o bien la idea de riesgo tecnológico es más grave y recurrente en la actualidad que lo que eran en el pasado. En el escenario actual, una empresa que quiera subirse a la era digital, mantener su prestigio reputacional y no verse expuesta a un ataque que conlleve pérdida de información relevante o continuidad operativa, que impida vender sus productos o servicios a través de su página web por indisponibilidad del servicio, no puede estar ajena a los riesgos que las acechan diariamente y que muchas veces ni siquiera tienen conocimiento de que han sido vulneradas. En un mercado con alto grado de competencia, ¿querrá la junta directiva ser responsable frente a los accionista que los clientes migren a la competencia? O bien, ¿ser responsables, civil, penal o administrativamente por decisiones no adoptadas, o peor aun, tomadas sin los conocimientos o asesorías requeridas dado el giro de su empresa?

Es fundamental que los directorios y gobiernos corporativos (comités de gestión en empresas más pequeñas) sean facilitadores de la creación de ambientes de transparencia, confianza y rendición de cuentas necesarios para la integridad del negocio y la estabilidad financiera. Es en este punto donde se debe agregar un gobierno de seguridad de la información y ciberseguridad y que se encuentre alineado con el marco de gobierno del área TI. Es esperable que dada la contingencia y riesgos que acechan el mundo virtual, que las compañías avancen y que las juntas directivas hagan de la ciberseguridad una parte fundante de sus propios gobiernos corporativos, definiendo planes a corto, mediano y largo plazo, como también, la gestión integral de los riesgos a los cuales se ven expuestos a diarios.

Interesante es ver que compañías dedicadas a rubros específicos ya cuentan con programas robustos de reducción de riesgos en otras áreas, tales como, materiales peligrosos, minería y transportes. Sin embargo, a la hora de determinar sus riesgos de la seguridad de la información y ciberseguridad no se establecen planes de la misma robustez y amplitud. Cada empresa (en particular sus directorios) debe guiar a la búsqueda de estos riesgos, hacerlos propios y concientizar a sus trabajadores y colaboradores para su reducción. Hace ya mucho años que dicho problema dejó de ser exclusivo de las áreas de TIC y pasó a ser parte fundante del desarrollo corporativo.

De no existir un avance en estas materias, las empresas se arriesgan a perderlo todo. Esto no es una frase escandalosa o exagerada. Un ataque cibernético que capture los datos, que no permita el funcionamiento de los aplicativos o que límite el transporte, son algunos ejemplos que deben estar presentes al momento de tomar decisiones. Si no se está dispuesto a reducirlos o mitigarlos, es necesario transferirlos a través de un seguro. Pero, lamentablemente para el lector, ello no podrá subsanar el daño reputacional a una empresa que deja de funcionar de un día para otro por no haber sido consciente de sus riesgos tecnológicos, su nulo desarrollo de planes para su mitigación y el funcionamiento en un ecosistema en que la seguridad de la información y ciberseguridad deben estar en el core del negocio.

Como se señala en ciberseguridad, “ud ha sido hackeado y lo sabe, o bien, ud ha sido hackeado y no lo sabe”