En el iTTi (Innovation & Technology Trends Institute) prestamos atención preferente al gobierno de las tecnologías (sobre todo informáticas) por quien tiene, en las empresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración[1].

‘Gobierno corporativo de las TI’ (GCTI)…

«… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI”.

… es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el por qué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”.

El Consejo de Administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados…

…  conlleva dos ámbitos principales -a veces antagónicos: el rendimiento [desempeño] y la conformidad…»[2].

Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo.

Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD[3]) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo[4].

Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba.

Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.).

Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo[5]:

  1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI.

No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8).

La “supervisión del riesgo debiera ser una función de todo el Consejo” [subrayado nuestro], sin delegarla al Comité de Auditoría u otros comités. El Consejo en pleno debería recibir, al menos de manera semestral, información-formación (briefing) sobre estos temas” (NACD 2014, p. 8).

  1. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa.

Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros.

El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia.

Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”.  (NACD 2014, p.11).

  1. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma.

Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”.

Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12).

  1. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados.

Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)[6],[7], que puede resumirse en:

  • Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-.
  • Crear un equipo con participación de todas las partes interesadas.
  • Celebrar reuniones periódicas e informar al Consejo.
  • Establecer una estrategia y un plan de gestión del ciber-riesgo de ámbito empresarial.
  • Dotarlo de los recursos necesarios y de un presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal.

Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas[8] del NIST –que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones.

  1. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques.

Propone que se debatan, al menos, las cuestiones siguientes:

  • ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan?
  • ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación de ciber-riesgos?
  • ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos?
  • ¿Cómo debiéramos evaluar el impacto de los cibereventos?

Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital…” (NACD 2014, p.9).

Llegados a este punto, tenemos unas preguntas para usted, estimado lector. No es necesario que nos las conteste, respóndaselas usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta:

¿Cómo le parecen estos cinco principios?

View Results

Cargando ... Cargando ...

En la empresa de usted se aplican:

View Results

Cargando ... Cargando ...

.

[email protected]

.

[1] Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director.

[2] De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”.

[3] http://www.nacdonline.org/index.cfm. [Consulta 20140825].

[4] NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series 2014.

 http://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687. [Consulta 20140825].

[5] Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura.

[6] http://www.isalliance.org/   [Consulta 20140826].

[7] ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs

http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826].

[8] NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf