Las amenazas cibernéticas y la seguridad de la junta directiva

Los miembros de la junta directiva y los altos ejecutivos de una empresa son responsables de asegurar el valor de su marca —y hoy en día, ese valor está estrechamente relacionado con la seguridad, en concreto, con la seguridad informática.

Pero menos de una cuarta parte de los miembros de juntas directivas tiene “plena confianza” en la capacidad de la gerencia para responder ante una amenaza a la seguridad informática, de acuerdo con un informe especial, “Managing Cyber Risk: Are Companies Safeguarding their Assets?” (Manejo del riesgo cibernético: ¿están las empresas protegiendo sus activos?), de la revista Governance Security de la NYSE. Además, no es un tema de conversación que surja en las salas de junta directiva con suficiente frecuencia, según los expertos.

No se trata de que se desconozcan los riesgos: El costo del delito informático para la economía global alcanzó 455 mil millones de dólares anuales en 2014 y se espera que aumente, según un estudio de MacAfee, “Net Losses: Estimating the Global Cost of Cybercrime” (Pérdidas netas: estimación del costo global del delito informático). Sin embargo, el costo verdadero del fracaso de la seguridad cibernética se extiende más allá de las pérdidas financieras directas: de 189 empresas que sufrieron un ciberataque, 79 % de los ejecutivos informó una disminución de la reputación externa, 78 % notificó una baja en la producción y 75 % habló de una pérdida en la confianza de los empleados, según un sondeo de 2015 realizado por Deloitte y Symantec, “Winning the Cyberwar: Enabling UK Business Now and in the Future” (Ganar la guerra cibernética: dar capacidad a las empresas del Reino Unido ahora y en el futuro).

“Toda organización, comercial o de otra clase, tiene información que es valiosa para una entidad externa, sea un competidor o una organización delictiva. Y donde hay valor, hay un incentivo para que los piratas informáticos pongan sus manos en la información que le pertenece a usted. Usted debe asumir que está bajo constante ataque”, dijo Ayal Vogel, presidente de AMID Strategies, una consultoría de seguridad física y cibernética. “Y aun así, si la junta directiva llegara a discutir la seguridad cibernética, usualmente se habla de asegurar la información de los clientes, no de las comunicaciones internas y la propiedad intelectual”.

La desconexión

De acuerdo con un informe especial de la NYSE, a un 48 % de los miembros de juntas directivas “les preocupa no saber lo suficiente para hacer las preguntas correctas”.

La publicidad a menudo se concentra en las noticias, que frecuentemente involucran historias de robo de tarjetas de crédito, fotografías de celebridades expuestas o filtraciones de información política. Lo más común son casos de robo de datos relacionados con productos y otros datos de propiedad intelectual, de empleados y de mercados.

“La tecnología está cambiando a un ritmo cada vez más rápido, y las empresas se esfuerzan mucho para mantenerse al día”, indica el informe de la NYSE. “Los directores corporativos podrían perfectamente considerar que una supervisión blindada del riesgo cibernético es imposible”.

Pero de acuerdo con la NYSE, el correo electrónico crea riesgos de seguridad: no se puede tener control sobre el contenido de un mensaje de correo electrónico enviado. Los mensajes se pueden dirigir a la persona equivocada. Los archivos adjuntos se pueden duplicar. Los usuarios no controlan los servidores donde se guarda el correo electrónico o a través de los cuales pasa.

Además, los gerentes de TI a cargo de la seguridad informática de la empresa a menudo se muestran reacios a compartir sus preocupaciones acerca de la seguridad de los datos de la organización con la junta directiva. El informe de Deloitte y Symantec muestra que en 70 % de las empresas incluidas en el sondeo, los responsables de las decisiones en el área de TI no se sentían cómodos con los planes de seguridad de los datos de su compañía.

Pero los empleados a cargo de la seguridad de los datos podrían no sentirse cómodos supervisando la adherencia de los miembros de la junta directiva a los lineamientos de la empresa —dos terceras partes indicaron a la NYSE que su superior de TI presenta informes a la junta directiva solo “ocasionalmente”. Es por ello que solo una cuarta parte de los directores tiene “bastante confianza” al enfrentar un ciberataque.

Asegurar la información de la juntas directiva

Los datos de la junta directiva se deberían almacenar idealmente en una ubicación conocida, separada de los demás datos de la organización. Una herramienta para juntas directivas podría ofrecer una solución mejor que un almacenamiento comercial en la nube. Compartir documentos en un software para juntas directivas hospedado, al cual solo pueden tener acceso usuarios autorizados por el administrador del sistema con diferentes roles y derechos (por ejemplo, solo lectura, editar, compartir), puede limitar el riesgo de perder el control sobre datos adjuntos enviados en mensajes de correo electrónico. Usar un software para juntas directivas con un estricto esquema de autorización se traduce en que el administrador no perderá el control sobre documentos, incluso si la contraseña de acceso de un usuario es robada; en tal caso, el administrador del sistema puede simplemente negar el acceso a ese usuario.

El administrador también puede bloquear el acceso al software o a documentos específicos según sea necesario; por ejemplo, cuando un ejecutivo viaja al extranjero y el administrador tiene motivos para creer que la conexión de la red al software, desde esa región, pudiera estar comprometida. El personal a cargo del software para juntas directivas puede suspender el acceso del ejecutivo al software mientras se encuentre en el área donde existe el riesgo.

El administrador también puede bloquear el acceso al software o a documentos específicos según sea necesario. Digamos que un ejecutivo viaja al extranjero y el administrador tiene motivos para creer que la conexión de la red al software, desde esa región, pudiera estar comprometida. El personal a cargo del software para juntas directivas puede suspender el acceso mientras el miembro de la junta se encuentre en el área donde existe el riesgo.

“Los métodos probados y comprobados de compartir documentos sensibles pueden poner sus datos en riesgo”, explica Vogel, de AMID Strategies. “Incluso las organizaciones pequeñas y medianas deben replantearse la manera en que almacenan datos y cómo esos datos se comparten internamente y con usuarios externos. La junta directiva debe liderar el camino”.