Con la llegada de la pandemia de la Covid-19, las empresas de todo el mundo se vieron obligadas a acelerar sus procesos de digitalización, dando lugar a que tuvieran que adaptarse a una nueva forma de operar en la que además surgieron nuevos riesgos de ciberseguridad ante los que deben prepararse no solo por el impacto que puede acarrear si se ven afectadas por alguno de ellos, sino también por el aumento de la presión que están ejerciendo sobre ellas los gobiernos, los reguladores y los inversores para que mejoren sus medidas de ciberseguridad.
Así lo advierte FTI Consulting en un reciente informe titulado "Building Effective Cibersecurity Governance", en el que analiza cómo las organizaciones deben construir una política eficiente de ciberseguridad para responder al creciente escrutinio de las partes interesadas sobre el conjunto de ciberriesgos al que están expuestas y mientras que la disponibilidad de seguros cibernéticos está disminuyendo.
Además de mejorar sus medidas de ciberseguridad, el informe señala que las organizaciones deben incrementar su transparencia en torno a la divulgación de los ciberincidentes y construir estructuras de gobierno y gestión que pongan de manifiesto que la ciberseguridad es una prioridad en las altas esferas de su compañía. "Garantizar que existan estructuras de supervisión a nivel directivo es una característica clave de la gobernanza cibernética", señala el informe.
FTI Consulting resalta la creciente responsabilidad de las juntas directivas a la hora de garantizar que el equipo ejecutivo esté tomando las medidas adecuadas para mitigar el riesgo de un ciberataque y para que la organización responda adecuadamente en caso de que se vea afectado por cualquier tipo de incidente. No obstante, indica que es habitual que tengan poca o ninguna experiencia en este campo, a la vez que no se espera que sean expertos en esta materia, pero que lo que sí se espera de ellos es que sean capaces de gestionar los retos intrínsecos que rodean a este tema y que informen a los accionistas sobre las medidas implementadas para mitigar los efectos de los incidentes de ciberseguridad.
La importancia del CISO y su labor ante el nuevo enfoque de la gestión de los ciberriesgos
En este sentido, destaca la importancia del chief information security officer (CISO), es decir, del profesional responsable de abordar los riesgos de ciberseguridad. Según el informe, el CISO ha sido tradicionalmente concebido para desempeñar funciones de TI, pero avisa que la ciberseguridad ya no es únicamente una responsabilidad suya sino de los líderes empresariales de todos los segmentos de una organización por lo que el CISO deberá asegurarse de que estos líderes cuentan con el conocimiento y la capacidad necesaria para una toma de decisiones apropiadas como parte de un enfoque más amplio de la gestión de las ciberamenazas.
"Este cambio, junto con un panorama regulatorio que lleva la responsabilidad de supervisión hasta el nivel de la junta, significa que el CISO moderno necesita poder comunicar riesgos cibernéticos dinámicos y que cambian rápidamente en términos que resuenen tanto con el negocio como con la junta. Es necesario que se definan métricas en términos de negocios e impacto financiero para replantear la ciberseguridad como un requisito de inversión obligatorio, no como un coste operativo.
"Sin embargo, una nueva encuesta de la consultoría FTI a 165 CISO en los EE.UU. ha revelado que el 58% tiene dificultades para comunicarse con los líderes sénior", subraya el informe.
Cómo se debe reportar la ciberseguridad tanto interna como externamente
La ciberseguridad de las organizaciones también está cada vez más sometida al escrutinio de sus inversores y asesores, destacan los autores de este análisis que aseguran denota que la ciberseguridad se ha convertido una de sus prioridades clave y los ciberataques en una de sus grandes preocupaciones. Junto a ello, destacan que los principales administradores de activos del mundo están ofreciendo más detalles sobre lo que esperan en términos de divulgación, incluido el deseo de obtener detalles sobre las estructuras existentes para administrar los ciberriesgos, así como el nivel en el que los incidentes cibernéticos afectan a los negocios.
Por tanto, cada vez es más importante la forma en que las empresas comunican los riesgos de ciberseguridad a los que se enfrentan. "Creo que tanto las empresas como los inversores se beneficiarían si esta información se requiriera de manera consistente, comparable y útil para la toma de decisiones", afirmó el presidente de la SEC, Gary Gensler, al anunciar las reglas propuestas por la SEC sobre la divulgación de cuestiones relacionadas con la ciberseguridad.
Tras evaluar el entorno regulatorio, revisar las mayores demandas de la comunidad inversora y considerando los beneficios de una mayor transparencia, FTI Consulting señala que sería meritorio que las empresas aborden la ciberseguridad de forma similar a la que el Task Force on Climate-related Financial Disclosures (TCFD) informa de los riesgos relacionados con el cambio climático y el modo en que los gestionan.
"Esto se basa en cuatro pilares y permitirá que las juntas directivas y los inversores de las empresas reconozcan los riesgos que plantea la ciberseguridad de una manera más holística abarcando: la gobernanza; la estrategia; la gestión de riesgos; y las métricas y objetivos
"En última instancia, una combinación de la regulación y la demanda de una mayor transparencia significará un cambio radical en la divulgación de información para las empresas. Sin embargo, es probable que haya un beneficio claro, financiero y de reputación, para las empresas que son pioneras y adoptan un enfoque más proactivo para el gobierno y la supervisión del riesgo cibernético y la divulgación", apunta el informe.