Gobiernos Corporativos y Ciberseguridad : El Upgrade del Experto Financiero al Experto en Ciberseguridad

Dentro de las responsabilidades de los Directores, se espera que supervisen y aseguren que la administración de la empresa fortalezca un proceso de administración de riesgo que permita identificar, evaluar, priorizar y definir técnicas de mitigación, orientadas a disminuir la exposición al riesgo,  ello asociado a todos los riesgos de la empresa, incluido el riesgo de Ciberseguridad, ya sea riesgos asociados a la denegación de servicios, brechas de datos, de información de clientes o robo de información entre otros.

Al parecer y lamentablemente, esta supervisión no está siendo muy efectiva, ya que los incidentes de brecha de datos cada año van aumentado. Según el sitio web Data Breach Index, del año 2013 a la fecha, han ocurrido más de 7.000 incidentes de brechas de datos o robo de ellos, los cuales alcanzan a cerca de 5 millones de registros comprometidos por día y 57 registros por segundo. Dentro de los casos más emblemáticos que se conocen, se encuentran JPMorgan Chase con 83 millones de registros afectados, Korea Credit Bureau con 104 millones de registros, Equifax con 143 millones de registros, Target y Home Depot con cerca de 110 millones cada uno.

El costo del robo o brecha de datos es significativo. Según el Instituto Ponemon, el costo organizacional directo promedio de una violación de datos en los Estados Unidos es de $ 7 millones y costo promedio por registro robado equivale a US 141 en promedio, según el estudio publicado el año 2017. Diversos estudios tanto del mundo empresarial como académico han investigado el impacto en valor bolsa de estas compañías, el cual dependiendo del estudio puede variar entre un 3% y 5%, luego de la divulgación de la brecha, con un desempeño negativo durante los 3 meses siguientes a la divulgación.

En la actualidad el grado de preocupación de las empresas y sobre todo los accionistas está creciendo aceleradamente, solo durante el año 2017 han surgido diversos artículos y columnas de opinión, publicados en páginas web del mundo empresarial y del mundo académico en relación al rol que cumplen los Directores en el tema de Ciberseguridad, solo a modo de ejemplo mencionamos algunos:

  • Dónde están los Directores? Preguntas para Equifax,
  • 10 Preguntas que los Directores se deben hacer en relación a la Supervisión de los Ciber Riesgos
  • Porqué el Directorio debe Reenfocar los riesgos claves
  • La Ciberseguridad debe ser una prioridad en la agenda de los Directores
  • Tendencias de Ciberseguridad para los Directores

Estos artículos pueden ser visitados en el sitio web de Harvard Law School Forum on Corporate Governance and Financial Regulation (https://corpgov.law.harvard.edu).

Muy pocas empresas han tomado acciones drásticas a nivel de Gobierno Corporativo. A modo de ejemplo mencionamos el caso de Equifax, quien por medio de un comunicado de prensa en septiembre del 2017, reveló haber sufrido una brecha de datos, que expuso los datos personales de más de 143 millones de usuarios. Por otra parte, también anunció el despido con efecto inmediato de su CIO (Chief Information Officer) y del CISO (Chief Security Information Officer), semanas después también fue desvinculado su CEO (Chief Executive Officer). Posteriormente, el 26 de octubre de ese mismo año, anunció la incorporación al Board de Directores de Scott McGregor, profesional con amplia experiencia en seguridad de datos, tecnologías de la Información, administración de riesgos y ciberseguridad, aumentando el Board de 10 a 11 directores (CNBC, 2017).

Dado el costo y la probabilidad creciente que las empresas sufran un ciberataque exitoso, es importante preguntar si los directorios y el management tienen suficiente conocimiento y están preparados adecuadamente para prevenir, monitorear y mitigar los riesgos de Ciberseguridad, o aquellas empresas que ya han sufrido un ataque han efectuado cambios en su Gobierno Corporativo. En realidad, las acciones que toman las empresas luego de un ataque está lejos de efectuar cambios, solo muy pocas compañías han incorporado directores independientes  a sus directorios luego de una brecha de datos, o han dado mayor visibilidad al CISO (Chief Information Secuirty Officer), acercando su dependencia al CEO (Chief Executive Officer) o un comité de primera línea, solo empresas como Target, Equifax y Ashley Madison, han incorporado a Directores Independientes con conocimiento y experiencia en Ciberseguridad, pero claramente considerando el nivel actual y el incremento de brechas de seguridad, estos son casos aislados.

Desde el punto de vista regulatorio, el Congreso de Estados Unidos ingresó un proyecto de ley en marzo del 2017, actualmente en discusión, para Promover la transparencia en la supervisión de los riesgos de ciberseguridad en las empresas que cotizan en bolsa ( Proyecto de Ley 115 S 536is, Cybersecuirty Act 2017), en el cual se menciona lo siguiente:

(1) Divulgar si algún miembro del Directorio o la junta directiva de la empresa que informa tiene experiencia en ciberseguridad y el detalle necesario para describir completamente la naturaleza de la experiencia y ;

(2) Si ningún miembro del Directorio o Junta Directiva de la empresa que informa tiene experiencia en Ciberseguridad, será necesario describir qué otras medidas de Ciberseguridad la empresa ha tomado en cuenta a través de los responsables de identificar y evaluar nominados para cualquier miembro de la junta, como un comité de nominaciones.

Probablemente la historia de Enron se repita, y así como la ley Sarbanes Oxley incorporó un experto financiero en el Comité de Auditoría de las empresas, ahora además existirán Directores con habilidades en Ciberseguridad que permitan supervisar de mejor manera el valor de la empresa y la rentabilidad esperada por los accionistas.

por: José Lagos, Socio Principal de Cybertrust

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Create a website or blog at WordPress.com

Up ↑

%d bloggers like this: