La ciberseguridad y los consejeros tecnológicos: nuevos retos, nuevas oportunidades de negocio

En este artículo vamos a hacer pedagogía respecto al riesgo que comportan los ciberataques, con ejemplos relevantes de ataques recientes que ilustran la gravedad de la amenaza, así como del valor que aporta una ciberseguridad bien articulada para neutralizarlos. También queremos poner en valor la figura de los consejeros tecnológicos: su formación, experiencia y talento juegan un papel esencial para preservar el caudal de información relevante que caracteriza a una organización, sus empleados y sus clientes.

Qué es la ciberseguridad y qué peligros enfrenta y puede neutralizar

En un mundo como el actual, cada vez más interconectado y con una creciente apuesta por la tecnología para articular los procesos de comunicación y procesamiento de datos e información, la seguridad informática ocupa un lugar central. La ciberseguridad representa el conjunto de procedimientos y herramientas que se implementan para proteger la información que se genera y procesa a través de esas redes. Para ello existen una serie de protocolos, métodos, reglas, herramientas, y leyes concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia información. La ciberseguridad comprende software, hardware, redes de ordenadores, y todo lo que la organización entienda y valore como un riesgo si la información confidencial involucrada pudiera llegar a manos de otras personas, transformándose así en información privilegiada.

¿Cuáles son las ventajas que aporta la ciberseguridad?

Dicho con pocas palabras, garantiza la privacidad de las consultas y deliberaciones que se tejen entre sus empleados y clientes. Además, permite conservar los datos de manera integral, elude riesgos innecesarios, incrementa la productividad (neutralizando posibles ataques que produzcan retrasos en las entregas), desarrolla un monitoreo interno (que detecta posibles amenazas) y permite acceder a nuevos negocios, en la medida en que abre la puertas a nuevos clientes gracias a las garantías que les puede ofrecer en la preservación de la información, factor crucial desde que rige en toda Europa el Reglamento General de Protección de Datos.

¿Cómo se desarrolla y fortalece esa apuesta por la ciberseguridad?

A través de la conjugación de un equipo de directivos, consejeros tecnológicos y profesionales competentes en la materia y un buen sistema de ciberseguridad, integrado por herramientas óptimas que detecten y neutralicen amenazas como el malware se desarrolla un sistema que mitigue el ciberriesgo. Gracias a la correcta capacitación de su equipo humano y de adquirir el software más útil en la prevención de esos riesgos, sus datos y redes estarán seguras, evitando así el ingreso de usuarios no autorizados, que pueden tener como objetivo robar información o dañar su reputación, a menudo con el objetivo último de lograr una importante cantidad de dinero a cambio de desistir en su empeño.

El caso es que la proliferación de la tecnología y la digitalización ha hecho que la ciberseguridad se convierta en un eje vertebrador para garantizar la continuidad de cualquier tipo de empresa o negocio. En esa línea, las organizaciones son cada vez más conscientes de la importancia de proteger de forma segura los datos de una empresa, tanto la información organizativa como la personal de los empleados y los clientes. Se trata de un reto que cada vez tiene más ramificaciones. Por ejemplo, con el estallido de la pandemia de la covid-19 muchas empresas han pedido a sus empleados que trabajen en remoto. Ante esta nueva realidad, simultáneamente, los ataques cibernéticos, en particular los ataques de ransomware, también han aumentado significativamente. Conectado con esa nueva realidad, los Consejos de Administración deben comprender mejor los ataques cibernéticos y la regulación cibernética para llevar a cabo una gestión de riesgos eficaz en ese ámbito.

Ciberataques recientes de mayor alcance y proyección: IAG y H&M

El 16 de octubre de 2020, IAG fue multada por ICO (la Oficina del Comisionado para la Información, principal organismo de supervisión y aplicación del RGPD del Reino Unido, o lo que es lo mismo: la Agencia Británica de Protección de Datos). La cuantía de la sanción fue de 20 millones de libras esterlinas, la multa más grande que haya emitido la ICO, por una violación de datos que afecta a más de 400.000 de sus clientes. El caso es que, durante 2018, British Airways experimentó una violación cibernética, pero no se dio cuenta hasta dos meses después del ataque, debido a las medidas de seguridad inadecuadas utilizadas para proteger los datos. Las investigaciones de la ICO descubrieron que había debilidades en el sistema de seguridad que usaba British Airways, a pesar de la disponibilidad de sistemas de seguridad de mayor calificación. De manera que la sanción se le aplicó a este grupo de empresas por no emplear medidas técnicas y organizativas apropiadas para prevenir una brecha de seguridad de datos personales.

El segundo ejemplo se centra en un ciberataque en H&M. Su caso ejemplifica que las filtraciones de datos no solo están relacionadas con los ciberataques a los datos personales de los clientes, sino también con la información personal de los empleados. En octubre de 2020, H&M recibió una multa de 35,3 millones de euros por infringir las normas del RGPD sobre los datos personales de sus empleados. Esta es la segunda multa más grande emitida por el GDPR y la penalización más alta emitida por una violación de datos laborales.

¿Cómo calibrar el grado de competencia en ciberseguridad de un Consejo de Administración?

Diligent ofrece una solución que procesa los datos del Consejo de Administración de cada empresa, así como la experiencia y las habilidades de cada componente del Consejo. Por lo tanto, al utilizar la plataforma de CGLytics, se puede apreciar qué experiencia y destrezas puede tener o no una empresa en su Consejo de Administración y saber si cuentan con consejeros tecnológicos. Según nuestra base de datos, el porcentaje medio de consejeros tecnológicos en los Consejos del FTSE-100 (s de solo el 8,67%, y 49 empresas del FTSE-100 no tienen ningún tipo de experiencia tecnológica en su Consejo.

En ese sentido, la transformación que hay que emprender en ese ámbito resulta esencial para garantizar el desarrollo de la organización a la que pertenecemos. El motivo es que el papel de los consejeros incluye entre sus funciones primordiales el hecho de monitorear la salud a largo plazo de la empresa, por ello contar con consejeros tecnológicos es primordial. La falta de cualquier tipo de experiencia tecnológica o comprensión en un Consejo de Administración hace que la empresa sea vulnerable a un ataque cibernético. Piense en British Airways y H&M como ejemplos: aunque ninguna de las dos empresas está en el sector de la tecnología, la tecnología es una parte integral de sus operaciones. Además, el hecho de que se emitan cada vez más multas en Europa después de la implementación de GDPR en 2018, hace que sea aún más urgente que los consejeros posean un conocimiento práctico de ciberseguridad, privacidad de datos y transformación digital.

El camino a seguir para velar de la manera más eficiente por la protección de datos

Si su empresa carece de consejeros tecnológicos, asegúrese de que se incorpore el talento adecuado. Las organizaciones, generalmente, realizan cambios en la composición de su equipo directivo y de su Consejo de Administración después de un ciberataque, un hito que repercute en el aumento del número de consejeros tecnológicos. Algunas empresas incluso han comenzado a introducir Comisiones en el Consejo de Administración centradas en la tecnología o los ciber riesgos.

Además de nombrar consejeros tecnológicos, es muy importante que exista una sólida comunicación entre el CIO, el CISO, el CEO y el Consejo de Administración. En la mayoría de las organizaciones, los profesionales de la ciberseguridad se encuentran al menos a dos niveles del Director Ejecutivo en la jerarquía de la empresa, con pocas oportunidades de participación y decisión directa sobre temas y prioridades de protección. Esta falta de peso en el ámbito directivo, genera poca o ninguna documentación formal sobre el estado de los sistemas de defensa entre el equipo de funciones cibernéticas y C-Suite. Para protegerse adecuadamente contra los ataques cibernéticos, las comunicaciones de su organización centradas en el ámbito de la tecnología y la ciberseguridad deben volverse más integradas, frecuentes y deliberadas.