Cyber Risk y el rol de los directores en la Junta Directiva
La sofisticación y el impacto de las amenazas-riesgos tecnológicos en un mundo interconectado y dependiente, demanda que los directores en la Junta Directiva adopten un rol proactivo, decisivo y continuo sobre el impacto del cyber-risk en la organización.
Es sano mencionar que existen dos términos que generalmente en las organizaciones se utilizan como si fueran lo mismo, cuando en realidad no lo son:
Cyber-risk: Es el riesgo de pérdida financiera, interrupción de la operación o daño a la reputación de una organización debido a algún tipo de falla de sus sistemas de tecnología de la información.
Cyber-security: Es el arte de proteger redes, dispositivos y datos del acceso no autorizado o uso delictivo a fin de garantizar la confidencialidad, integridad y disponibilidad de los datos.
Según la revista Forbes, el riesgo no es solo financiero, de reputación o legal; ahora incluso la vida y la seguridad de las personas están en juego. Los ciberataques en la primera mitad de 2022 aumentaron un 42 % en comparación en el 2021. El año 2022 terminó con un incremento preocupante. Los ataques cibernéticos a las compañías son cada vez más frecuentes y sofisticados. Los reguladores exigen más protección a los datos personales de los clientes. Para el año 2025, una respetada compañía en tecnología de información estima que el costo de los delitos informáticos alcanzará USD 10.5 Trillones.
El rol de los directores en la Junta Directiva va mucho más allá de las actividades tradicionales en las que se han involucrado hasta ahora.
Hoy los directores en la JD deben jugar un rol proactivo. Tener una comprensión básica sobre cyber-risk, es imprescindible, al igual que estar vigilante de las iniciativas claves de la Gerencia en materia de cyber-security y/o cyber-risk.
El cyber-risk es mucho más que tecnología de información. Pensar que las decisiones y seguimiento de las amenazas-riesgos tecnológicos son aspectos exclusivos de las áreas de GRC (Governance, Risk & Compliance) es un error. Los directores en la JD deben definir KPI´s para monitorear las acciones mitigantes de la Gerencia sobre el cyber-risk.
Es comprensible que algunos directores en la JD sientan que su limitado tiempo debe ser priorizado para decisiones de carácter financiero sobre otras como el cyber-risk. Es también evidente que la industria del ciberdelito existe, mueve billones de dólares americanos anualmente y está en crecimiento.
Que nadie es inmune, es sano tenerlo presente.