Así como la transformación digital ha traído consigo oportunidades de crecimiento, desarrollo e innovación en las empresas, también ha venido con retos, dificultades y amenazas de seguridad que han tomado fuerza con el paso del tiempo.
Según un informe de la Fiscalía General de la Nación, solo en el primer semestre del año se registraron más de 20.500 crímenes cibernéticos, lo que equivale a un aumento del 36 por ciento con respecto al año pasado. De hecho, con base en el “CEO Outlook 2021” de KPMG, el 70 por ciento de los ataques exitosos es interno y el 30 por ciento externo.
En este contexto, Felipe Silgado, director de Servicios de Ciberseguridad de KPMG Colombia, presenta algunos puntos clave en la elaboración de un plan de acción estratégico contra estos ataques y la importancia de abordar la ciberseguridad como tema central en las Juntas Directivas de las empresas.
Para comenzar, Silgado señala que “regulaciones de la Superintendencia Financiera, el MinTIC y la Presidencia de la República, entre otras entidades, exigen mucho control del riesgo de ciberseguridad a las empresas. Ha habido más interés y preocupación en los últimos años, pero en algunos casos sucede que las organizaciones se sienten muy seguras con las acciones que han tomado, y entonces no sienten amenazas. En todos los casos termina siendo un falso sentido de seguridad”.
Entre los retos más importantes se destacan:
- Un bajo entendimiento del tema de ciberseguridad, las amenazas y su importancia por parte de las Juntas Directivas y la alta dirección.
- Un bajo interés por parte de las mesas directivas y altos cargos en crear una cultura de ciberseguridad.
- Cuidar el riesgo legal al que están expuestos como administradores de la organización los miembros de Junta Directiva y los representantes legales.
Las principales consecuencias son:
- Materialización de incidentes de riesgo de ciberseguridad y riesgo operativo.
- Impacto en la reputación e imagen corporativa.
- Bajo cumplimiento regulatorio y de obligaciones contractuales.
- Impacto financiero debido a pérdidas, fruto de los ataques.
Sin embargo, según el informe KPMG CEO Outlook, el 79 por ciento de los líderes encuestados está de acuerdo con que proteger la cadena de suministro y su ecosistema es igual de importante que proteger la organización del riesgo de ciberseguridad para asegurar la continuidad operativa y lograr las metas organizacionales. Además, el 75 por ciento de los encuestados afirma que es de suma importancia crear una estrategia fuerte de ciberseguridad para generar confianza con los stakeholders.
Estos últimos datos generan confianza en el sector corporativo. Silgado afirma: “Es importante construir gobernabilidad dentro de la organización y tener una postura de ciberseguridad fuerte desde la Junta Directiva, lo que permite generar cultura con un enfoque top-down para que toda la organización sea consciente de la importancia de la ciberseguridad. Las Juntas Directivas necesitan entender que la ciberseguridad es también su responsabilidad, al igual que es responsabilidad de los directivos, colaboradores y áreas de ciberseguridad de la organización”.
Finalmente, Felipe Silgado les recomienda a las Juntas Directivas seguir las siguientes pautas para seguir contrarrestando los ciberataques con base en el rango de acción que una organización pueda tener:
- Hacer capacitaciones con las Juntas Directivas y los equipos de trabajo para entender las amenazas y retos que existen.
- Crear simulaciones de ciberataques en las que participe la Junta Directiva y esto, ayude a sensibilizar y entender más fácilmente los riesgos de ciberseguridad de la organización y cómo responder ante estos.
- Incluir dentro de las agendas de las Juntas Directivas de manera recurrente la visibilidad de lo que se está haciendo en la organización y tener control con trazabilidad.
- Crear indicadores de gestión de desempeño y de riesgo para que las Juntas Directivas puedan medir las acciones.
- Contar con un manual de gestión de crisis de ciberseguridad socializado, apropiado y aprobado por la Junta Directiva.
- Tener un enfoque de apropiación de la ciberseguridad desde el tope hasta abajo.
- Aprobar y mantener un presupuesto destinado a gestionar adecuadamente la ciberseguridad basado en el riesgo de la organización.
