Ya hace un tiempo, en el IGEP, comenzamos a charlar con los expertos en IT sobre la importancia de este tema para los Directores y Directorios de las empresas y organizaciones.
En una de las Actividades de Actualización para socios y graduados de los programas del IGEP, María Laura García, fundadora de Global NewsGroup y experta en medios de comunicación, nos llamó la atención en la urgente necesidad de alfabetización digital de los Directorios.
Alejandra Naughton, Directora del Supervielle, nos planteó que la transformación digital cambió la agenda de los Directorios, y si no es así, es imprescindible que prestemos atención y hagamos algo al respecto.
Así el año pasado, Pablo Paccapelo, Director de Forensic Services de KPMG, nos contaba que la tecnología se utiliza para implementar sistemas que sirven de soporte para que funcione el negocio. Pero la tecnología es, en sí misma, el negocio y sirve como un habilitador y diferenciador brindando ventajas competitivas.
Las organizaciones se están volviendo más vulnerables a las amenazas cibernéticas debido a la creciente dependencia de la tecnología.
La conectividad global y el uso creciente de servicios en la nube con parámetros de seguridad predeterminados deficientes significan que el riesgo de ataques cibernéticos desde fuera de su organización está aumentando.
Lo que históricamente podría ser abordado por la gestión de riesgos de TI, ahora debe complementarse con profesionales especializados en ciberseguridad. Y ahora, quienes saben de TI, deben ocupar un lugar fundamental en el Directorio.
Los responsables de la toma de decisiones, sin duda, tendrían que realizar las evaluaciones de riesgos al priorizar a los proveedores externos y tener una estrategia de mitigación de riesgos y un plan de respuesta a incidentes de ciberseguridad para cuando ocurra.
Sabemos que entre las amenazas más comunes se encuentran los ciberataques, el phishing, Malware (Virus, Keyloggers, Spyware, Gusanos, Ransomware), DDoS, brute Forcing, inyección SQL y otros.
Los riesgos externos pueden provenir de diversas fuentes, incluyendo competidores, estados-naciones, individuos o grupos hacktivistas.
La exposición al Ciber Riesgo puede ocurrir en cualquier área, lo que la convierte en una prioridad organizacional, en lugar de una prioridad de TI.
El Directorio debe establecer una supervisión sólida manteniendo un inventario actualizado de las amenazas potenciales junto con la cuantificación dinámica del impacto potencial y costos de mitigación de los incidentes de ciberseguridad.
Es imprescindible implementar las medidas de ciber higiene básicas, comprender el perfil de riesgo y establecer una estrategia para toda la empresa.
Las amenazas ciertamente existen y se están volviendo cada vez más potentes, silenciosas, sofisticadas y frecuentes.
Muchas veces escribimos la palabra “deben”. Y si, el Directorio, los Directores “debemos” estar empapados de estos temas que antes nos eran tan ajenos. Ya no podemos evitarlos, desentendernos de la TI, esquivarlos y mucho menos, ignorarlos. Es indispensable analizar los riesgos profundamente.
La ciberseguridad ya no puede ser vista solo como un tema de incumbencia técnica.
Claudio Pasik, fundador y Director de NextVision, empresa de ciberseguridad con operaciones en Latinoamérica y España, insistió en llamarnos la atención de que realmente todos podemos ser víctimas de un ciberataque (individualmente pero también como parte de las organizaciones) y las consecuencias pueden ser diversas y con alto impacto en clientes, proveedores, empleados, accionistas.
Claudio también insistió que TI debe estar en la agenda estratégica directiva por su repercusión directa en la reputación, finanzas, compromisos regulatorios y continuidad del negocio.
En la última Actividad de Actualización Profesional sobre esta temática que nos ocupó gran parte del año, Graciela Braga, consultora y auditora de TI, nos planteó un resumen didáctico de qué preguntas debe saber hacer y cuáles debe responder el Directorio como responsable del gobierno de TI.
El Directorio es quien debe tomar algunas decisiones relacionadas con TI, y eso también es parte de las buenas prácticas de la gobernanza.
Los Directorios somos responsables de evaluar, dirigir y monitorear el uso actual y futuro de la Información y Tecnología, dos recursos muy conectados y críticos en la actualidad empresaria, de la mano con las personas y sus habilidades aplicadas en el desarrollo de estas tareas.
Todo Directorio debe estar preparado para responder, tomar decisiones y exigir las respuestas necesarias en pos de implementar un gobierno de tecnología de la información eficaz que facilite el logro de los objetivos empresariales.
¡Ahora ya sabemos que debemos saber más!