Una empresa pierde en promedio 5% de su valor en bolsa tras un ataque cibernético, según un estudio Ponemon Institute. A pesar de la importancia que está tomando este tema, muchos directores no le dan el peso que se merece y no consideran la ciberseguridad como una materia dentro de las habilidades que se necesitan en el board.
La filtración de datos de miles de tarjetas de crédito, el robo de US$ 10 millones al Banco de Chile y los sucesivos ataques de ransomware -en que hackers ‘secuestran’ sitios web y exigen un pago para liberarlos- han encendido las alertas en Chile. Muchas empresas están abordando protocolos de manejo digital y hasta La Moneda está elaborando proyectos de ley para elevar los estándares de ciberseguridad en el país.
Pero la preocupación trasciende fronteras. El año pasado, los datos financieros de 143 millones de estadounidenses fueron filtrados tras un ataque a Equifax; empresas desde Sony Studios hasta JPMorgan o Home Depot reportaron incidentes y, en el Reino Unido, el malware WannaCry tuvo al Servicio Nacional de Salud (NHS) paralizado por días.
Todos estos casos fueron parte de un estudio de la Escuela de Negocios de la Universidad de Stanford. En noviembre del año pasado, los académicos David F. Larcker, Peter C. Reiss y Brian Tayan publicaron un paper que analiza las respuestas de las empresas a brechas de ciberseguridad. La conclusión fue lapidaria: “Las compañías no están haciendo lo suficiente para proteger los datos de los clientes”, señalaron.
Según datos de Ponemon Institute, que hace investigación independiente en temas de protección de datos, las acciones caen en promedio 5% tras informarse un ciberataque. Aquellas con mayor preparación técnica para enfrentarlo logran recuperar su valor en un promedio de siete días; en cambio, las menos preparadas tardan más de 90 días.
Los casos varían, pero el efecto es el mismo: un daño reputacional y económico que puede afectar, incluso, la continuidad operativa de la empresa u organización. ¿Qué más están haciendo los directorios frente a este escenario? Lo cierto es que la investigación de Stanford detalla que, tras un ciberataque, muchas firmas anuncian mejoras, pero muy poco ocurre en términos de responsabilizar a individuos o hacer cambios estructurales a nivel del directorio.
Los investigadores critican que la expertise cibernética no es una habilidad central o un requerimiento para la mayoría de los miembros de la junta. Sin embargo, en cada vez más directorios la seguridad cibernética se ha convertido en una prioridad para los directorios, que desean estar mejor informados, tener un rol activo en materias de ciber riesgos y saber las preguntas correctas que deben formularse para no quedarse atrás en materia digital.
Los directores deben involucrarse en las decisiones tecnológicas de sus empresas y contar con una visión crítica al respecto, no dejando toda la responsabilidad a sus CIO o gerentes de TI. Los expertos coinciden en que el directorio necesita a alguien con conocimiento de estos riesgos. Hay empresas que están incorporando a directores independientes y el jefe de seguridad informática (CISO, por su sigla en inglés) está adoptando mayor nivel gerencial.
La batuta la han llevado las firmas del sector financiero. Ellas son las primeras en que el directorio no sólo debe gestionar los riesgos y entenderlos a través de personas calificadas, sino que el impacto en su carrera debe estar ligado al desempeño de estas variables. Mirando a EEUU, en Chile nos queda un largo camino por recorrer para contar con directorios que puedan manejar estos temas tan bien como manejan ventas, finanzas, impuestos.
Conoce el programa para directores de SmartPlacement
