El rol del directorio en materias de ciberseguridad

Hace un año, escribí en esta sección acerca de los riesgos que enfrentan las empresas ante los cada vez más frecuentes y sofisticados sabotajes digitales, intrusiones de software maliciosos (malware), propagación de virus que secuestran información (ramsonware), robo de datos y apropiación indebida de secretos industriales, entre otros cibercrímenes. Ahí señalé que la ciberseguridad se perfila como uno de desafíos más relevantes en materia de gobierno corporativo y que es deber fiduciario del directorio promover la "ciberresiliencia" en sus compañías.

Una reciente encuesta de la Asociación Nacional de Directores Corporativos (NACD por sus siglas en inglés) reveló que el 58% de los directores de compañías abiertas en bolsa de Estados Unidos considera que la ciberseguridad es el principal riesgo que enfrentan. Sin embargo, sólo 37% dijo sentirse "seguro" o "muy seguro" de que su empresa estaba "debidamente protegida frente a un ciberataque". Esta desconexión entre riesgo y grado de preparación ante una potencial embestida es preocupante.

Hay varias guías con indicaciones sobre cómo enfrentar este reto, incluyendo las de la SEC, la agencia gubernamental NIST en Estados Unidos y los estándares británicos PAS555. La propia NACD y el Center for Audit Quality, que agrupa a firmas auditoras, han publicado sendos manuales con orientaciones específicas para directores. Todos coinciden en que la solución no pasa sólo por adquirir software y sistemas de última generación, instalar firewalls, encriptar datos o contratar a un CISO.

En resumen, éstas recomendaciones sugieren que los directores soliciten a la administración un análisis exhaustivo para determinar cuáles son y dónde están las vulnerabilidades de la empresa con el fin de incorporarlas en los mapas de riesgo; designen responsables de implementar medidas y procedimientos internos para construir sistemas de resiliencia; autoricen inversiones necesarias para reducir las posibilidades de una embestida y, de ser atacados, aminorar sus consecuencias; revisen los planes de continuidad de negocios para asegurar que abarquen todos los escenarios asociados a un hackeo; y exijan que todos los empleados estén informados sobre los riesgos y entrenados en la prevención de ataques. Además, es clave que se aseguren de que existan estrategias comunicacionales para informar a clientes, socios, trabajadores y autoridades de gobierno en caso de sufrir un incidente.

Por otra parte, es clave evaluar los peligros a nivel de proveedores y contratistas, pues una interrupción en la cadena de suministro puede tener consecuencias igualmente graves. También, y considerando los costos asociados a un ciberataque (por la interrupción o paralización de actividades, pagos asociados con investigaciones forenses y restauración de datos, daño reputacional y pérdida de clientes), las empresas deberían determinar si es conveniente adquirir algún tipo de seguro.

La ciberseguridad es un riesgo tan grave como los supeditados a factores financieros, contables, regulatorios y de mercado. Por lo mismo, debe considerarse como parte del deber de cuidado y diligencia que empleamos los directores en el ejercicio de nuestras funciones.