Expansión Galicia - Economía Digital
La cibergobernanza: el buen gobierno de la ciberseguridad
Las organizaciones deben crear estructuras de gestión y buen gobierno que demuestren que la ciberseguridad es una prioridad para las más altas esferas de la compañía. Esta es una de las recomendaciones que ofrece la consultora FTI Consulting en un reciente informe titulado Building Effective Cybersecurity, en el que analiza cómo se debe construir la política de ciberseguridad.
“Al igual que ocurre con el cambio climático, en materia de ciberseguridad, inversores, reguladores y cada vez más grupos de interés están reclamando a las empresas que tengan una estrategia de protección de datos efectiva, que la respuesta a los incidentes sea reportada en tiempo y forma, y que haya una gobernanza efectiva en el ámbito de la ciberseguridad”, explica Juan Rivera, senior managing director en FTI Consulting.
Por ejemplo, las grandes gestoras de fondos piden información sobre ciberincidentes del pasado que puedan afectar a la marcha del negocio. “La manera en que las empresas comunican su gobernanza de ciberriesgos tiene un impacto directo sobre las valoraciones y las perspectivas de ingresos”, dice el informe.
En este sentido, aunque no se puede esperar que los miembros del consejo se conviertan en expertos en ciberseguridad, es vital que estén capacitados para poder supervisar el riesgo cibernético. Sin embargo, la realidad es muy distinta y la falta de experiencia en tecnología “supone un importante agujero en el nivel de capacidades del consejo”.
El informe también subraya la importancia de la figura del chief information security officer (CISO). “Estos ejecutivos se sienten cada vez más desconectados del consejo de administración de las compañías en cuanto a las prioridades que establecen en un lado y otro”, dice Rivera. Según FTI, más de la mitad de los CISO manifiesta que el consejo muchas veces desconoce esos temas.
“Parte del rol del CISO consiste en comunicar los ciberriesgos y las métricas de seguimiento de manera que influyan sobre el comité”, dicen los autores del informe, que subrayan la importancia de que estos directivos definan métricas con las que cuantificar el impacto de la ciberseguridad en términos empresariales y financieros, “considerándola como una inversión obligatoria y no un coste operacional”.