Las nuevas regulaciones están transformando el papel de los directores, exigiendo transparencia sobre su experiencia en ciberseguridad. Por ello, se necesita un lenguaje común, alineación estratégica y enfoque en la resiliencia.
Los directores y el CISO
Diversos estudios dan cuenta de una falta de interacción entre el directorio y el responsable de ciberseguridad (o CISO), además de continuar percibiendo la ciberseguridad como un tema técnico y no como un habilitador para obtener una ventaja competitiva en una economía digital. Una vulnerabilidad de la ciberseguridad se relaciona con la composición del directorio, al no existir directores independientes con habilidades y conocimientos necesarios, que permitan entender la ciberseguridad como un aspecto clave del negocio.
Esto ha adquirido tal relevancia, que las nuevas regulaciones de la SEC (marzo 2022) están cambiando el papel y rol de los directores, en relación a la gestión de riesgos, gobernabilidad y divulgación de incidentes. En un futuro cercano, las empresas deberán divulgar si algún miembro del directorio tiene experiencia en ciberseguridad, las capacidades de gobernabilidad en ciberseguridad y su papel en la supervisión y monitoreo de la implementación de las políticas de ciberseguridad; además de comunicar el proceso de cómo los directores se informan sobre los riesgos de ciberseguridad, y si estos riesgos son considerados como parte de su estrategia de negocio.
El ESG de la ciberseguridad
Para poder enfrentar este entorno más regulado, sofisticado y complejo, existen aspectos que los directores deben considerar sobre este campo de acción. Uno de ellos, tiene que ver con que el riesgo más oculto de la ESG es la ciberseguridad, ya que la materialización de una amenaza podría provocar el peor riesgo para la empresa, que tiene que ver con su sobrevivencia.
Asimismo, resulta necesario desarrollar un lenguaje común para conversar acerca de la gestión de riesgo en ciberseguridad, el apetito al riesgo en ciberseguridad, la tolerancia y capacidad de absorción del riesgo. Lo anterior, usando metodologías de gestión de riesgos, que permitan medir eficazmente la pérdida esperada o el valor en el riesgo de ciberseguridad.
Ciberseguridad, habilitador de la ventaja competitiva
También, muchas veces la ciberseguridad es mirada como un tema técnico y tecnológico y no como un habilitador de la ventaja competitiva. Cambiar el foco permitiría asegurar el cumplimiento de los objetivos de negocio, gestionar de manera adecuada los riesgos, proteger los datos de los clientes y la reputación.
De la mano de ello, deben considerar el alineamiento de la estrategia del negocio con la estrategia de ciberseguridad. Cada objetivo de negocio debe tener una respuesta adecuada de ciberseguridad, la cual permite cumplir con los objetivos. En un entorno digitalmente intenso, muchas veces los objetivos de negocio no son alcanzados, debido a riesgos de ciberseguridad que lo impiden, por lo cual la estrategia no solo debe crear valor, sino que debe proteger el valor generado.
Hoy en día, las organizaciones se centran más en la protección y muy poco en la resiliencia, por lo que desde su posición deben promover la preparación o simulación de cibercrisis, con acciones que permitan a la empresa generar las capacidades adecuadas para sobrellevarla de manera exitosa y avanzar en la implementación de Modelos Predictivos (Inteligencia Artificial y Machine Learning), para anticipar la materialización de riesgos, no sólo para la detección, sino que avanzando en la predicción. Esto debería ir de la mano con adoptar marcos éticos para la inteligencia artificial, la protección de datos y la ciberseguridad. Junto con ello, la administración debe incentivar que este aspecto debe estar en la agenda del directorio.