Ciberseguridad y responsabilidad corporativa

OMC
El área de TI es la única que ha visto aumentar los salarios.


Dicen que errar es humano, pero eso no significa que equivocarnos nos exima de sus responsabilidades y consecuencias. Los errores cometidos en una organización en la gestión y control de la seguridad tienen efectos cuyo  impacto no se dimensiona hasta que ocurre uno de estos incidentes. Más aún,  la mayoría de las veces, la responsabilidad en estas brechas de seguridad recae en el eslabón más débil que suelen ser los cargos técnicos, y no en los altos ejecutivos o miembros del directorio que dirigen la organización afectada. 

El reciente ataque informático que sufrió la cadena de hoteles Marriott en la que sustrajeron los datos datos personales, claves y tarjetas de crédito de medio billón de clientes, se ha convertido en el segundo más grande de la historia. Y aún cuando los datos estén cifrados y Marriott haya señalado que es poco lo que se puede hacer con ellos, el daño a su imagen, reputación e incluso su valor bursátil, se han visto de inmediatamente afectados.  Estas consecuencias son claramente responsabilidad de los altos ejecutivos quienes deberían responder a los inversionistas por los efectos de este hackeo masivo.

En eventos como éste y otros donde la seguridad es vulnerada, es habitual que los altos cargos traspasen la responsabilidad  al resto de los colaboradores como, por ejemplo, al analista de seguridad a cargo de monitorear una intrusión o de auditar el cumplimiento de un control o procedimiento. En el caso del Marriott, la falla en el control de los procedimientos durante la fusión con Starwood provocó que una base de clientes ya vulnerada continuara siendo utilizada y que, incluso, los hackers tuvieran acceso a ella durante años. Algo similar ocurrió en el ataque a Telefónica en Chile en 2017, cuando un ataque con ransomware dejó sistemas capturados pidiendo un rescate por semanas. En ambos casos, los errores en el control de los riesgos tecnológicos y procedimientos tuvieron consecuencias directas en los riesgos operacionales y estos, a su vez, en los riesgos corporativos.

La sustentabilidad de la organización es proporcional a su seguridad. Una vez que ocurre un daño a su imagen de marca y a su credibilidad con sus clientes, la organización ve vulnerada su sustentabilidad, su crecimiento en el tiempo y su actual buen desempeño financiero. Los organismos reguladores, además, los obligan a seguir complejas auditorías que se traducen en un aumento de sus costos operacionales y de millonarias multas. Los directores fallan en no anticiparse al riesgo y tener un rol más activo en los planes de seguridad, capacitación y sensibilización de los colaboradores.

Según un estudio de IBM en 2016, más del 60% de las brechas de seguridad se originan desde el interior de las organizaciones. El peor enemigo es el interno, aquél que no cumple los procedimientos y se salta los controles, por error u omisión, por falta de capacitación o compromiso. De ahí que una buena forma de evitar las consecuencias de un ataque a su seguridad es que sus propios directores asuman que es crucial  invertir cada año y de manera responsable en los planes maestros de seguridad, en vez de asignar presupuestos marginales.  Invertir en tecnología de punta y en planificaciones integrales que permitan sensibilizar y capacitar a sus colaboradores y empleados sobre la importancia de cumplir con los estándares de seguridad establecidos. Evitar este tipo de ataques y aprender a enfrentarlos es responsabilidad de todos.

Comenta

Los comentarios en esta sección son exclusivos para suscriptores. Suscríbete aquí.