Durante los últimos años el informe anual Global Risk Report del World Economic Forum ha definido los riesgos tecnológicos como una de las cinco categorías de riesgos globales a tener en cuenta, y año tras año esta categoría tiene algún protagonista específico dentro de los 10 riesgos con mayor impacto a corto, medio y largo plazo.
Estas predicciones se han ido cumpliendo ya que en estos momentos las brechas de seguridad y ciber ataques se encuentran a la orden del día, y llaman a la puerta de nuestras organizaciones y empresas de forma constante. El famoso dicho de que solo hay dos tipos de empresas: las que han sido hackeadas y las que aún no saben que fueron hackeadas, es cada día más certero.
La edición 2023 del Global Risk Report incluye dentro de la lista de los 10 principales riesgos a corto y medio plazo la generalización del ciber crimen y la ciber delincuencia, con lo que confirma la tendencia de los últimos años hacia la generalización de los ciber riesgos. En efecto, los riesgos tecnológicos han pasado de ser un problema de seguridad de ciertas infraestructuras e industrias a una cuestión de seguridad ciudadana que afecta al día a día de todo nuestro tejido empresarial, con un alto impacto potencial en las pequeñas y medianas empresas.
Estas cuestiones las conocen bien Rafael Ansón como abogado y asesor jurídico de diversos consejos de administración; y, Jesús Jimeno, también abogado, que ha participado en los informes del World Economic Forum mencionados. Ambos han realizado varias publicaciones sobre gestión de riesgos tecnológicos y forman parte de grupos de trabajo y comisiones al respecto.
P. ¿Cómo es el impacto actual de los riesgos tecnológicos en las empresas?
R. Los riesgos son generalmente homogéneos. En nuestras investigaciones vemos cómo la generalización de los ataques hace que, desde las grandes entidades hasta las pymes, tengan que protegerse ante una misma tipología de ataques. Si lo piensas, los malware más famosos (ryuk, wannacry…) y mediáticos, precisamente se han viralizado por su capacidad de afectar a todo tipo de infraestructuras y organizaciones. Lo mismo pasa con los ataques de phishing indiscriminados que recibimos todos o con el famoso fraude al CEO.
Sin embargo, existe una gran desigualdad y diferencias en las formas de enfrentarse a estos problemas y de evitarlos. La prevención unida a la actuación eficaz y temprana son esenciales, y aquí las grandes empresas están ganando la partida.
P. ¿Cuáles son las medidas que deberían implementar las pymes y cualquier organización a nivel de toma de decisiones y gobierno corporativo?
R. Para que esas medidas sean eficaces, lo primero que se debe hacer es reconocer los tipos de riesgos tecnológicos a los que se expone el negocio de la organización. Después, analizarlos y encargar a unos técnicos un plan de prevención de esos riesgos. Una vez diseñado el plan, hay que implementarlo y para ello es fundamental la gobernanza corporativa, que ayuda a transmitir a los empleados las instrucciones precisas para evitar o minimizar riesgos tecnológicos y, además, dota de recursos materiales el plan. Todos los expertos coinciden que la formación de los trabajadores es de máxima importancia para obtener resultados prácticos.
P. Los administradores y directivos, ¿pueden acabar siendo responsables de la gestión y prevención en materia de riesgos tecnológicos?
R. Los administradores y altos directivos, como responsables de la supervisión de su organización empresarial, tienen que abordar le previsión de los riesgos tecnológicos. En las grandes empresas, que disponen de recursos para esta cuestión, se diseñan planes de prevención dentro de la gobernanza que desarrollan los consejos de administración. En las sociedades pequeñas, más cortas de recursos, es frecuente que los administradores reconozcan los riesgos tecnológicos, pero, de hecho, retrasan o no ponen en práctica un plan de prevención. Si sus organizaciones sufren un ataque tecnológico que ralentiza o incluso paraliza el negocio, pueden ser responsables de los daños y perjuicios sufridos por la sociedad que administran y clientes y proveedores.
P. El asunto de moda es la Inteligencia artificial ¿Cómo consideráis que se debe abordar y que proyectos proponéis?
R. Efectivamente, la inteligencia artificial es el tema de moda en estos momentos. No se trata de una realidad que vaya a ocurrir en el futuro, sino que está ocurriendo ahora, en el presente. Es un riesgo tecnológico, pero diferente, por ejemplo, a los malware a los que nos referíamos en una respuesta anterior. La inteligencia artificial que pueden utilizar las empresas (tanto las herramientas de acceso público como los desarrollos personalizados por los propios usuarios) presentan unos riesgos específicos entre los que podemos destacar: la imposibilidad de asegurar un control de sus efectos, la certeza de resultados no deseados que dañen a la propia empresa y a terceros, discriminación injusta de trabajadores, etc.
Se trata de una materia tan nueva que no tenemos antecedentes a los que acudir. Por eso es muy conveniente para las empresas y, sobre todo, para los administradores que, dentro del gobierno corporativo de su empresa, elaboren planes de prevención de riesgos originados por la Inteligencia Artificial. Para esto, es muy útil la constitución de grupos de trabajo e investigación que estudien y propongan las mejores medidas según los conocimientos actuales que tenemos. La unión de esfuerzos entre empresas interesadas e instituciones académicas e investigadoras como las Universidades puede ser un proyecto que ayude eficazmente a resolver las necesidades y problemas originados por los riesgos del uso de la inteligencia artificial en las empresas.
En concreto, estamos trabajando con la Universidad Villanueva de Madrid en la creación de un proyecto sobre gestión corporativa de riesgos tecnológicos, y entre otros objetivos queremos analizar los riesgos que genera la implementación de los sistemas de inteligencia artificial en las empresas y desarrollar políticas y planes de actuación en la materia. Con la colaboración universidad-empresa podremos analizar "cómo doman las organizaciones los sistemas de inteligencia artificial" y realizar propuestas de adaptación de los planes de gobierno corporativo y prevención a estos riesgos tecnológicos.