Los CFOs necesitan ser los impulsores de la administración de la seguridad

Cuando un desastre natural golpea, es frecuente que las comunidades estén desprevenidas y se apresuren a responder. Si tan solo hubieran planeado con anticipación, el desastre podría haber sido manejado de manera más rápida y eficiente.

El mismo desafío puede aplicarse a cualquier empresa que experimenta una intrusión a su seguridad. Los CFOs y los miembros del Consejo siempre cuidan los costos y se enfocan en lograr los resultados de los objetivos. Sin embargo, si ocurre una intrusión a la seguridad, no se preocupan por controlar los gastos con tal de deshacerse de la intrusión, colocar de nuevo los sistemas en línea y mejorar la falta de defensas de seguridad. La realidad es que cuando se enfrentan a un evento de seguridad, la mayoría de las empresas aún siguen trabajando en modo reactivo.

Las empresas promedio solo gastan entre 1 y 5 % de sus ingresos en seguridad TI, lo cual parece un monto pequeño cuando se compara con los riesgos de perder ventas, productividad y el daño a la marca asociado con la intrusión. Este año ha habido muchos ataques al sector salud, al gubernamental e incluso a empresas globales. En todos y cada uno de los casos, se ha perdido información invaluable y, en ocasiones, algunos altos ejecutivos han llegado a perder sus empleos o deben enfrentar un riguroso escrutinio.

Otra preocupación importante es la actual escasez de profesionales en seguridad experimentados. Dos de las intrusiones de más alto perfil que surgieron al año pasado sucedieron por no contar con personal calificado y no por la falta de inversión suficiente en sistemas de seguridad. Por otro lado, han entrado en vigor nuevas regulaciones en seguridad y las empresas deberán rendir cuentas si no cumplen con los nuevos requerimientos.

Cualquiera podría argumentar que el papel de los altos niveles ejecutivos, en especial el CFO, se han transformado gracias a esta tendencia. El CFO ahora puede ser llamado CPO (Director en Jefe de Protección). Potencialmente, la ciberseguridad pone en riesgo las finanzas y el valor de la empresa, desafía las estrategias regulatorias e incrementa la necesidad para establecer políticas y prácticas maduras que salvaguarden la información. Un CFO, como estratega de negocios y ejecutivo de administración de riesgos, debe mantener el control y la dirección en estas áreas. Ya no son preocupaciones “sólo del área de TI”. 

Responsabilidad y Administración

Para el CFO y para el Consejo estar a la vanguardia se ha vuelto un elemento esencial en lo que se refiere a enfoques proactivos de seguridad dentro de las organizaciones modernas. Aunque existen formas en las que el personal de seguridad puede mitigar el daño provocado por frecuentes y sofisticados ataques, no controlan el presupuesto.

Hay bastantes detractores que aseguran que el costo de una seguridad adecuada es mayor al costo de recuperación de una intrusión. Sin embargo, esto no es un enfoque responsable o sustentable. Toda la evidencia indica que las intrusiones y los ataques se volverán más frecuentes, persistentes y sofisticados; por lo tanto, los costos de reaccionar ante estos continuarán incrementándose. Las marcas, los empleos y la cotización del precio de las acciones están en riesgo.

¿ Por qué la seguridad y la administración deben ir de la mano?

La administración va más allá que solamente generar ingresos o asegurar el éxito financiero de una empresa. También significa el cuidado y protección de los intereses a largo plazo de la compañía, incluyendo el pensamiento holístico sobre la forma en que la empresa afecta a los accionistas. Sin embargo, cuando se trata de seguridad, la administración tradicional de la empresa no siempre está equipada con la perspectiva, las habilidades o el conocimiento necesarios. Como resultado y con cierta frecuencia, la seguridad termina siendo percibida como un costo en vez de un elemento esencial de la administración de riesgos.

Pero si la administración realmente trata de proteger y supervisar los recursos de la empresa, tanto tangibles como intangibles, entonces los recursos más importantes son la información, las IP, la reputación, así como la confianza y lealtad de los clientes. Por lo tanto, la seguridad necesita ser un pilar central de esa administración, ya que, como hemos visto en diversas ocasiones, una seguridad deficiente puede perjudicar o destruir todos esos activos y, en su lugar, generar una pérdida del valor a través de una volatilidad innecesaria.

Aún más importante, tanto los directores de sus respectivas empresas, como los miembros del Consejo y los ejecutivos tienen la responsabilidad de garantizar la seguridad de la información y de proteger los sistemas y la propiedad intelectual de los accionistas.

Nunca podremos eliminar los riesgos

No podemos eliminar totalmente los riesgos. Están implícitos en todo lo que hacemos. Debido al bajo costo que representa para los cibercriminales provocar una intrusión, la dificultad para localizarlos y enjuiciarlos y a lo lucrativo que resultan las recompensas que generan las intrusiones exitosas, es seguro afirmar que siempre habrá ataques para robar información.

Sin embargo, sólo porque no podemos eliminar los riesgos, no quiere decir que no podemos manejarlos. Esto siempre ha sido una función clave del Consejo – evaluar los riesgos y llevar a cabo las acciones apropiadas para administrarlos y, al mismo tiempo, considerar el impacto en toda la empresa. La seguridad no es diferente. Los departamentos de TI deben considerar qué tipo de innovaciones pueden aplicarse para proteger la organización, mientras que el Consejo prioriza y determina cuáles recursos de la empresa deben estar accesibles y por quién, para que de esta forma, el departamento de TI pueda poner en práctica las acciones correspondientes.

En conjunto con el Director de Seguridad de la Información (CISO) y con el resto de los altos ejecutivos, el Consejo debe considerar y administrar, proactivamente, la seguridad versus los otros diversos factores como el costo, el desempeño, la agilidad, la colocación de recursos (incluyendo el personal), la autonomía y habilitación, las iniciativas estratégicas, los proyectos, la planeación y la comercialización.

Fuera de las áreas de TI y RH y dentro de la Sala de Juntas

La gestión de las políticas y de la información son áreas donde el Consejo y los ejecutivos senior pueden, significativamente, realizar una importante contribución en cuanto a seguridad de la empresa. Los departamentos de TI bien financiados y facultados pueden hacerse cargo de todos los detalles técnicos; Recursos Humanos (y otros empleados de planta) pueden centrarse en las políticas y procedimientos, mientras que los altos ejecutivos toman las decisiones relacionadas con las políticas y enfoques de seguridad de la información.

Como si fuera una carrera armamentista entre los cibercriminales, los países, organizaciones y comunidades de seguridad también entran en calor, este cambio fundamental en el enfoque de la ciberseguridad no sólo mantendrá a los “chicos buenos” un paso adelante, sino también garantizará que las empresas respondan rápida y apropiadamente cuando ocurra una intrusión. Y como ya nos ha enseñado la historia reciente, no es un asunto de “si pasará” sino de “cuándo”.