Responsabilidad de la ciberseguridad en una organización

Independientemente del sector al cual se dediquen las industrias y estén enfocados los modelos de negocio, todas las empresas, en menor o mayor medida, se apoyan en la tecnología para producir y generar ingresos en una economía digital que va en aumento.

Tomemos en cuenta que México es la segunda economía más grande de América Latina y el principal socio comercial de Estados Unidos, si a eso le añadimos que, de acuerdo con el informe anual "Digital 2022", publicado por Hootsuite y We Are Social, somos cerca de 92 millones de usuarios de Internet, en la república mexicana a una tasa de crecimiento anual del casi el 4%.

Todos interconectados, en búsqueda de bienes, servicios y experiencias. Esto nos abre, literalmente, un mundo de posibilidades para hacer negocios. El World Economic Forum estima para 2024 un crecimiento de 800,000 millones de dólares para el valor del comercio electrónico.

Sin embargo, aprovechándose de esta apertura y de este mercado, los criminales han encontrado la manera de extender sus actividades ilícitas hacia Internet, hacia el ciberespacio (donde serán conocidos como cibercriminales), a la sombra del anonimato, a la falta de cuidado por parte de las personas y de las organizaciones, a la falta de coordinación entre los gobiernos que garantice que este tipo de actividades se castiguen.

Una investigación hecha por Cybersecurity Ventures señaló que, para 2021, la ganancia mundial conseguida por los cibercriminales pudo haber alcanzado los $6,000 millones de dólares y para 2025 podría llegar a $10,500 millones de dólares.

A su vez, Cybercrime Magazine pronostica que el cibercrimen pronto superará las ganancias que deja el narcotráfico.

Karpesnsky indica que, durante 2021, en América Latina, los ciberataques tuvieron un crecimiento del 24% y sitúan a México en el segundo lugar con más ataques recibidos. Cyentia Institute en su estudio "Information Risk Insights Study" identificó que, durante 2020, el 43% de los ciberataques fueron dirigidos contra las PyMEs. La estimación de este estudio señala que las pérdidas fueron de más del 25% de sus ingresos.

De acuerdo con la encuesta "Allianz Risk Barometer 2022" de Allianz Global Corporate & Speciality, se identificó que el principal riesgo para los negocios serán los incidentes de ciberseguridad, seguidos de la interrupción de la actividad empresarial (por ejemplo, por falta o fallas en la cadena de suministros) y de las catástrofes naturales.

En este último par de años, debido a la pandemia de COVID-19, muchas empresas tuvieron que acelerar la adopción de la tecnología, lo que las expuso a un mayor número de ataques y riesgos de ciberseguridad. También puso en manifiesto su falta de preparación para afrontarlos.

A pesar de ello, los responsables de la toma de decisiones de estas empresas a menudo minimizaron la prioridad que debió darse a la ciberseguridad, a la integración de este tipo de riesgos en la estrategia empresarial y a su mitigación como parte de los procesos de negocio.

Ante un panorama así, muchas organizaciones se preguntan: ¿quién debería de ser el principal responsable de la ciberseguridad? Un estudio reciente de la Organización de los Estados Americanos (OEA) y el Banco Interamericano de Desarrollo identificó que en América Latina los órganos de gobierno en general tienen niveles de madurez bajos o medios relacionados con la ciberseguridad. En consecuencia, es posible que no sean conscientes de cómo los ciberataques y los riesgos de ciberseguridad pueden afectar a sus organizaciones.

Las compañías líderes perciben los riesgos de ciberseguridad de la misma manera como lo hacen con otros riesgos críticos: en términos de compensación de riesgo-recompensa. Esto es especialmente desafiante por las siguientes razones:

1. La complejidad y persistencia de las ciber amenazas ha crecido dramáticamente. Las organizaciones ahora enfrentan ciberataques cada vez más sofisticados que logran sobrepasar las defensas tradicionales. Con el aumento de la complejidad de estos ataques, también aumenta el riesgo que representan.
2. Los efectos potenciales de un ciberataque se están extendiendo mucho más allá de la pérdida o modificación de la información o de la interrupción de las operaciones. Los ciberataques pueden tener un impacto desastroso en la reputación y marca de una organización. Por último, las empresas y los directores también pueden incurrir en riesgos legales y financieros derivados de estos ciberataques.

El "Global Risks Report 2022" del World Economic Forum sostiene que el 95 % de los ciberataques que sufren las empresas proceden de errores humanos. (En globo) Asimismo, reporta que el 43% de los incidentes de ciberseguridad tienen su origen en amenazas internas, como empleados y proveedores, y estos pueden ser intencionales o accidentales.

La realidad es que si un ciberdelincuente tiene en la mira a una compañía con toda certeza conseguirá vulnerarla. Esto no significa que proteger a una organización contra ciberataques sea imposible, solo significa que la ciberseguridad debe contemplar algo más que la tradicional seguridad perimetral basada en firewalls y programas antivirus. Dado que los ciberataques se han vuelto más sofisticados, las defensas deben evolucionar también.

Al igual que otros riesgos críticos que enfrentan las organizaciones, la ciberseguridad no puede considerarse de forma aislada. Los órganos de gobierno y la alta gerencia deben lograr el equilibrio adecuado entre proteger a la organización y mitigar sus pérdidas, al tiempo que continúan asegurando la rentabilidad y el crecimiento en un entorno competitivo. Para facilitar este trabajo, la OEA desarrolló el "Manual de Supervisión de Riesgos Cibernéticos para Juntas Corporativas", en el cual se presentan los siguientes principios para abordar la ciberseguridad:

1. Los directores deben comprender y abordar la ciberseguridad como un problema de gestión de riesgos en toda la empresa, no solo como un problema de TI.
2. Los directores deben entender las implicaciones legales de los riesgos cibernéticos según se relacionan con las circunstancias específicas de su empresa.
3. Las juntas deben tener un acceso adecuado a la experiencia en ciberseguridad y se le debe proporcionar un tiempo regular y adecuado a las discusiones sobre la gestión de riesgos cibernéticos en las agendas de las reuniones de la junta.
4. Los directores de la junta deben establecer la expectativa de que la gerencia establecerá un marco de gestión de riesgo cibernético para toda la empresa con personal y presupuesto adecuados.
5. La discusión de la junta directiva sobre el riesgo cibernético debe incluir la identificación de qué riesgos evitar, cuáles aceptar y cuáles mitigar o transferir a través de un seguro, así como planes específicos asociados con cada abordaje.

Por todo esto, podemos señalar que los órganos de gobierno y la alta gerencia deben ser los principales responsables de la ciberseguridad dentro de su organización. A medida que la tecnología siga proliferando, los riesgos de ciberseguridad aumentarán inevitablemente. Sin lugar a duda, la capacitación en materia de ciberseguridad de los líderes y la integración de los riesgos de ciberseguridad a las conversaciones en los órganos de gobierno reforzarán la protección de las organizaciones, mitigando sus pérdidas, asegurando su rentabilidad y crecimiento.

Por Mtro. Luis Julián Zamora Ábrego, Coordinador de los diplomados de Ciberseguridad y Negocios digitales: Innovación, transformación y tendencias impartidos en IBERO CDMX.