Ciberseguridad

El Directorio y su rol en la toma de decisiones en Ciberseguridad

10
Oct

“En nuestra empresa no tenemos problemas con las claves de acceso al sistema y a los correos electrónicos, todos usamos la misma”.

Esa fue la respuesta que me dio en el año 2019 un orgulloso Gerente General de una empresa del rubro ferretero cuando le pregunté como gestionaban las claves seguras dentro de su empresa. Ante su respuesta, le pregunté como lo hacían con la gente que se iba de la empresa o era desvinculada respecto de tales claves que eran de “todos”. La respuesta, luego de pensarlo unos momentos fue “parece que si tenemos un problema con las claves”.

Si bien hoy en día, la gestión de los riesgos tecnológicos pareciera no ser parte fundamental para el adecuado desarrollo de la empresa, en el último tiempo, la adopción masiva de la tecnología bien sea voluntaria u obligatoria producto de la pandemia, se ha cuestionado cómo la alta gerencias, directorios y gerencias, incluso aquellas especializadas, como el Chief Technical Officer -CTO- perciben o bien se informan respecto de estos riesgos.

Es crucial entender que, como cualquier otro riesgo, debe existir una decisión consiente de cómo manejarlo. ¿Qué nivel de tolerancia al riesgo posee nuestra organización?, ¿cómo mediremos estos riesgos?, una vez que tengamos claro nuestro nivel de riesgos, ¿qué medidas tomaremos para controlarlos o mitigarlos?. Seguramente todas estas preguntas tendrán una respuesta inmediata en el departamento de TIC, pero, por otra parte, ¿el gobierno corporativo se encuentra alineado con todas sus áreas y riesgos?; parte importante de entender y llevar a cabo la transformación digital es comprender que las amenazas y vulnerabilidades son igual (o más) importantes que los riesgos materiales o tangibles, o bien la idea de riesgo tecnológico es más grave y recurrente en la actualidad que lo que eran en el pasado. En el escenario actual, una empresa que quiera subirse a la era digital, mantener su prestigio reputacional y no verse expuesta a un ataque que conlleve pérdida de información relevante o continuidad operativa, que impida vender sus productos o servicios a través de su página web por indisponibilidad del servicio, no puede estar ajena a los riesgos que las acechan diariamente y que muchas veces ni siquiera tienen conocimiento de que han sido vulneradas. En un mercado con alto grado de competencia, ¿querrá la junta directiva ser responsable frente a los accionistas que los clientes migren a la competencia? O bien, ¿ser responsables, civil, penal o administrativamente por decisiones noadoptadas, o peor aún, tomadas sin los conocimientos o asesorías requeridas dado el giro de su empresa?

Es fundamental que los directorios y gobiernos corporativos (comités de gestión en empresas más pequeñas) sean facilitadores de la creación de ambientes de transparencia, confianza y rendición de cuentas necesarios para la integridad del negocio y la estabilidad financiera. Es en este punto donde se debe agregar un gobierno de seguridad de la información y ciberseguridad y que se encuentre alineado con el marco de gobierno del área TI. Es esperable que dada la contingencia y riesgos que acechan el mundo virtual, que las compañías avancen y que las juntas directivas hagan de la ciberseguridad una parte fundante de sus propios gobiernos corporativos, definiendo planes a corto, mediano y largo plazo, como también, la gestión integral de los riesgos a los cuales se ven expuestos a diarios.

Interesante es ver que compañías dedicadas a rubros específicos ya cuentan con programas robustos de reducción de riesgos en otras áreas, tales como, materiales peligrosos, minería y transportes. Sin embargo, a la hora de determinar sus riesgos de la seguridad de la información y ciberseguridad no se establecen planes de la misma robustez y amplitud. Cada empresa (en particular sus directorios) debe guiar a la búsqueda de estos riesgos, hacerlos propios y concientizar a sus trabajadores y colaboradores para su reducción. Hace ya muchos años que dicho problema dejó de ser exclusivo de las áreas de TIC y pasó a ser parte fundante del desarrollo corporativo.

De no existir un avance en estas materias, las empresas se arriesgan a perderlo todo. Esto no es una frase escandalosa o exagerada. Un ataque cibernético que capture los datos como un ransomware, que no permita el funcionamiento de los aplicativos o que límite el transporte, son algunos ejemplos que deben estar presentes al momento de tomar decisiones. Si no se está dispuesto a reducirlos o mitigarlos, es necesario transferirlos a través de un seguro. Pero, lamentablemente para el lector, ello no podrá subsanar el daño reputacional a una empresa que deja de funcionar de un día para otro por no haber sido consciente de sus riesgos tecnológicos, su nulo desarrollo de planes para su mitigación y el funcionamiento en un ecosistema en que la seguridad de la información y ciberseguridad deben estar en el core del negocio.

Los avances tecnológicos deben ir aparejados con los cambios normativos de rigor y para que la empresa pueda modificar la cultura que tan arraigada se encuentra al interior de ellas, es necesario que laley imponga obligaciones relativas a la Ciberseguridad y a la relevancia que aquella tiene para el ámbito corporativo en su conjunto y como su manejo deficiente, no sólo será penado o sancionado, sino que además conllevará responsabilidad para los miembros del Directorio.

En lo referente a la forma y responsabilidades de los procedimientos y protocolos internos de ciberseguridad, según el giro del negocio, encontramos por ejemplo la RAN 20-10 sobre Gestión de seguridad de la información y ciberseguridad dictada por parte de la Comisión para el Mercado Financiero (CMF), referentes a la Banca e Instituciones Financieras.

De igual forma existe el denominado “Manual de Supervisión de Riesgos Cibernéticos para Juntas Corporativas”, el cual fue publicado hace un par de años atrás por parte de la Organización de Estados Americanos (OEA) y la Internet Security Alliance.

Sin lugar a dudas, son buenos puntos de partida para hacer seguimiento al establecimiento de un adecuado plan interno de ciberseguridad de la empresa y para así protocolizar y estandarizarlos para posteriormente implementarlos de manera correcta, subiendo de esa forma el estándar de nuestra empresa en materia de Ciberseguridad. Sin embargo, como ya hemos comentado en otras columnas, también existe importante normativa, principalmente relativa al compliance y materias penales, que rigen sobre la materia, por lo que ya no es tanta la voluntariedad, sino más bien la obligatoriedad que comienza a regir en la ciberseguridad y la debida diligencia que deberán emplear los Directores en el ejercicio de sus funciones dentro de la empresa. Misma postura deben adoptar los dueños de empresas más pequeñas que si bien no poseen Directorios, conforman comités de gestión encargados de planificar las diversas áreas y aristas de la compañía, entre ellas la ciberseguridad.

Desde el año 2009 se encuentra vigente la ley 20. 393 sobre responsabilidad penal de la persona jurídica y se ha dictado en agosto de este año la ley 21. 595 sobre Delitos Económicos, la cual tiene un periodo de vacancia legal para su entrada en vigencia y será después de 12 meses desde la publicación de ella en el Diario Oficial, plazo que se cuenta desde el 17 de agosto de 2023. Lo relevante de esta ley de delitos económicos es que viene a ampliar el catálogo y categorías de delitos contemplados en la ley 20. 393, encontrándose entre dichas conductas, la ley de delitos informáticos, por lo cual la responsabilidad penal no será la única aplicable en el caso de un ciberdelito cometido al interior de la empresa, por parte de uno de sus empleados o directivos, sino que, bajo ciertas circunstancias, puede ser considerado delito económico y recaer la responsabilidad penal y las multas de rigor, sobre la persona jurídica en cuanto tal.

De igual forma y ad-portas de la dictación de la nueva normativa sobre Protección de Datos y Vida Privada, además de las normas antes indicadas, se deberá contar con un compliance que cubra y contemple las materias en cuestión y, de igual forma, con planes y protocolos de ciberseguridad que deben emanar del Directorio que no sólo deberá estar informado en materia de ciberseguridad, sino que inmerso en la toma de decisiones al respecto.

Lo que la cultura empresarial no desea cambiar, la normativa a través de sus múltiples sanciones será la encargada de realizar.