¿La dirección de las compañías es realmente consciente de los riesgos y reflexiona sobre las ciberamenazas? ¿Son conocedores de la estrategia, planes y medios que tienen para defenderse de un ciberataque?
Artículo de opinión escrito por Ricardo Martínez Martínez, socio de Governance, Risk & Compliance
Cada minuto que transcurre en los negocios y empresas, los ciberatacantes son más numerosos y mucho más sofisticados. Esto hace que el número de ciberataques aumente significativamente y, con ello, que cada ataque se muestre más devastador para las organizaciones y los negocios que generan. En este sentido, y aunque pueda no parecer así, es ahora cuando las compañías se están empezando a dar cuenta de que no es tanto una cuestión de “SI” ellos serán atacados, sino de “CUÁNDO” sufrirán el ataque.
A pesar de que estén empezando a despertar y pensar que es cuestión de tiempo, todavía existen grandes organizaciones que están ignorando lo que puede haber detrás de una amenaza de ciberseguridad. El daño que ésta puede causar. Muchas se dan cuenta sólo cuando ocurre algún incidente que les afecte. Y si es grave, es cuando los accionistas y gestores empiezan a pedir explicaciones y responsabilidades. A actuar. Hoy en día, y según diferentes estudios y la experiencia propia, tan solo un puñado de empresas tienen implantadas unas ciberdefensas maduras y a la altura como para responder con éxito a un ciberataque contundente y persistente.
Hay que recordar que estos ataques, los ciberataques, pretenden obtener en primer lugar una buena dosis de información, de forma ilegal en la mayoría de las ocasiones, de las organizaciones y sus directivos, para continuar provocando otra serie de situaciones de riesgo. Entre otras: un quebranto económico directo, beneficiándose los atacantes del mismo; un daño reputacional y/o deterioro de la marca, provocando una pérdida de la confianza de los clientes; un obstáculo en las operaciones de sus negocios; e incluso la destrucción de las infraestructuras críticas de una nación. Todo ello, sin olvidarse, claro, del posible incumplimiento regulatorio, con sanciones incluidas, que la vulneración de un sistema de control en las organizaciones puede provocar sobre las mismas y sus accionistas / directivos.
Y con todo ello, ¿la Dirección de las compañías es realmente consciente de los riesgos y reflexiona de verdad sobre este asunto? ¿Son conocedores de la estrategia, planes y medios que tienen para defenderse de un ciberataque? ¿Saben si están focalizados en los aspectos más críticos? ¿Cubren esas medidas la responsabilidad del Consejo y su Dirección? ¿Entienden los ejecutivos el impacto potencial de un ciberataque? ¿Están preparados para responder a clientes, reguladores y otras partes sobre la gestión del ciberriesgo? Y, por último, entre otras cuestiones, ¿están en disposición de responder a tiempo y con solvencia a un ciberataque? Son muchas cuestiones que, de no ser por un adecuado reporting en esta materia, será difícil poder contestar. Y, sobre todo, conocer y gestionar los riesgos derivados de las amenazas ciber. Porque todo es una cuestión de tiempos. No sólo de cuándo te va a tocar a ti, sino también de reaccionar a tiempo cuando te ocurra. La respuesta debe darse en cuestión de minutos. No de días. El tiempo de reacción es un factor clave.
Lo que sí es una realidad hoy en día es que los Consejos de Administración y la Alta Dirección de las organizaciones están cada vez más preocupados y sensibilizados por la ciberseguridad y lo preparadas o no que están sus empresas para combatir los ciberriesgos a los que se enfrentan.
Según un estudio de Deloitte, el “EMEA 360º. Boardroom Survey”, que trata las principales preocupaciones en las agendas de los Consejeros, la Ciberseguridad se encuentra en la posición 13 como preocupación de los mismos para los próximos 12 y 24 meses. Por delante de otras como puedan ser la gestión de sucesiones, estructura organizativa, crisis financiera mundial y recuperación, Gobierno, refinanciación o riesgo fiscal.
Como se indica en este informe, el surgimiento de la ciberseguridad como un problema significativo puede deberse, además de lo mencionado anteriormente, a su visibilidad en los informes de medios de comunicación y a la creciente amenaza de riesgos para la reputación de las empresas. El riesgo en materia de ciberseguridad no es la exposición a un solo suceso para el que se pueda aplicar una solución específica en un momento determinado, sino que evoluciona, y las medidas de seguridad exigen revisiones y actualizaciones periódicas en toda la empresa. El problema va mucho más allá del departamento informático, y el Consejo de Administración es uno de los responsables en última instancia.
Por ello, es imprescindible que éste último reciba un adecuado reporte de la valoración periódica de su organización en términos del
Cada vez es más evidente que la Alta Dirección y los Consejos requieran de información del grado de exposición que tienen sus organizaciones al ciberriesgo, como un riesgo más a contemplar en sus valoraciones. Por tanto, el cuadro de mando que les tendría que llegar debería proporcionarles una visibilidad sobre el estado general de la ciberseguridad en relación con los objetivos de negocio, de forma que permita un mejor control de la ciberseguridad. Asimismo, es esencial que tenga Foco en lo importante para el negocio, entendiendo qué indicadores tienen un impacto más tangible para su actividad y objetivos estratégicos.
Un cuadro de mando es tan bueno como las acciones que genera. Es decir, los directivos deberían poder tomar acciones basadas en cómo evoluciona una determinada métrica, un determinado ciberriesgo. Si no es así, el reporte debe ser ajustado para conseguir acercarse a este propósito. En esta misma línea, existen tres características significativas y comunes a cuidar también, ya que no es una materia con la que los altos ejecutivos estén familiarizados, con un altísimo impacto para sus propósitos. Serían las siguientes:
Parecen evidentes, pero muchas organizaciones no disponen de un reporting de ciberseguridad similar, cuidando estas cualidades y consiguiendo un óptimo grado de utilidad gracias a la selección adecuada de sus indicadores. Hay que seguir trabajando en las organizaciones en lograr un marco de información útil, práctico y efectivo, sin olvidar que todavía se requiere mucha concienciación y formación en todos los posibles stakeholders: desde los empleados y directivos, hasta clientes y proveedores relacionados. A todos ellos se les debería implicar de una u otra manera en las actividades y estrategias de ciberseguridad de la organización.
El alcanzar o no unos niveles de madurez razonables en la gestión de la ciberseguridad solo será posible si se extreman las medidas y se establecen todos los controles posibles para mitigar los riesgos de este tipo en las organizaciones. En este sentido es fundamental la inclusión de los ciberriesgos en la función de Gestión de Riesgos de las compañías, y otorgar la valoración a los mismos conforme a la objetividad de las variables de medición del modelo que se esté utilizando. ¿Tienen las organizaciones interiorizadas, dentro de la función de Gestión de Riesgos, los riesgos ciber en toda su extensión? ¿Todas las actividades y procesos de la compañía que requieran de una exposición a internet tienen contemplados los controles suficientes para mitigar estos riesgos? ¿Planifican los departamentos de Auditoría Interna auditorias fruto de sus análisis de riesgos para conocer el nivel de exposición y ciberriesgo de sus organizaciones? ¿Disponen del conocimiento y perfiles necesarios para llevar a cabo dichas auditorías? Es importante que se vayan dando respuestas afirmativas y garantes a estas preguntas, para poder caminar hacia un nivel de confort adecuado / satisfactorio, al menos, en los Consejos y Alta Dirección de las empresas.
Para poder conseguir ese nivel de respuesta, una aproximación que están llevando a cabo algunas organizaciones es integrar la ciberseguridad en los modelos que ya disponen de las tres líneas de defensa, donde cada una de ellas juega un papel relevante en la protección y mejora del marco de control necesario y establecido.
Desde la primera, donde los controles deben de estar en todos los procesos con un riesgo ciber posible e identificado por las distintas áreas de negocio. Pasando por la segunda a través de las funciones de Gestión de Riesgos, Compliance, Asesoría jurídica, etc… Y llegando a esa Auditoría Interna que representa la tercera línea. Evidentemente esta presencia requiere de mucha sensibilización en las organizaciones, pero más aún, de personal convenientemente formado y capaz de cubrir estos gaps, que, aunque son técnicos en su base, necesitan de una importante comprensión del impacto que tienen en los objetivos del negocio. Es cierto que mucho se está avanzando en esta dirección, pero no hay que detenerse, y hay que seguir “empujando” y concienciando a todos los niveles de que los riesgos ciber han llegado para quedarse para siempre, y en mayores proporciones.
Es a través de los reportes de estas funciones, más maduros en sus canales y entendimiento de su necesidad, donde se debería integrar el reporte de la ciberseguridad convenientemente. Sin embargo, mientras las compañías alcanzan ese grado de madurez en la integración de estas funciones e interiorización de la ciberseguridad como aspecto vital a contemplar, es necesario que los gestores y consejeros de las organizaciones empiecen a recibir información sobre los ciberriesgos a los que se exponen, y su gestión, de manera inmediata y comprensible. Porque estos riesgos no pueden esperar. A modo de ejemplo, una posible estructura de estos cuadros de mando de ciberseguridad podría contemplar los siguientes apartados: métricas financieras relacionadas; protección de las aplicaciones e infraestructuras críticas; gestión de incidentes; cumplimiento de regulación, políticas y normas; gestión de vulnerabilidades; etc.
Asimismo, estos informes de ciberseguridad deberían contemplar las medidas necesarias poner en marcha, agrupadas en planes de acción que ayuden a mitigar los ciberriesgos identificados. Sin esto, y un seguimiento de dichas incidencias, el reporte quedaría incompleto. Es este un aspecto que los informes de auditoría interna, en general, tiene bien contemplado dado el grado de madurez de los mismos. Por el contrario, una gran cantidad de departamentos de auditoría interna presentan sus resultados, todavía, mediante informes estáticos (es decir, documentos de texto en su mayoría) y presentaciones que se han usado en la profesión durante años. Relativamente pocos directores de auditoría interna utilizan herramientas dinámicas de análisis y de visualización para comunicarse con sus stakeholders clave, como sí ocurre en los informes de ciberseguridad. Esto es motivado por la analítica de dato que ha sido necesario utilizar desde unos inicios, y la necesidad de sintetizar estos resultados para una eficiente gestión y reporte la Dirección. Esta realidad, conjuntamente con la necesidad de integrar más el Data Analytics en la función de auditoria interna para el empleo de sus enfoques, métodos y comunicaciones, no solo en la realización del trabajo de campo, son aspectos que se ponen de manifiesto en un estudio realizado por Deloitte en el 2016 a nivel Mundial, titulado “¿Evolución o intrascendencia?, La auditoría interna en una encrucijada”.
El crecimiento de los ciberataques, como se ha mencionado al principio del artículo, son exponenciales, y el impacto de los mismos son devastadores. Detrás de los atacantes hay muchos intereses, y ya no solo personales, sino también políticos, sociales, de competencia, estratégicos…
Los escándalos y ejemplos de ciberataques que se suceden cada día en las compañías, y en la sociedad en general, han hecho que llegue al interés de los altos estamentos de las organizaciones. Aunque también hay otra razón muy importante y nada desdeñable que es el peso que le han dado los reguladores a la responsabilidad que los gestores y consejeros tienen para con la actividad de las empresas que gestionan y dirigen. Es por ello que hay que aprovechar la oportunidad e informar con claridad y simplicidad en primer lugar, y con miras a hacerlo holísticamente e integrado con otros reportes que ya hoy en día les llegan.