Ciberseguridad (II): Las preguntas del board
En columna previa, reseñamos las gravísimas consecuencias económicas, comerciales y de imagen corporativa ocasionadas por el devastador ciberataque que Target, el gigante estadounidense del retail, sufrió en 2013; y cómo este episodio revela que una preocupación hasta entonces reservada a técnicos especialistas, se ha transformado en una inquietud que amenaza con poner en jaque la reputación y los activos de las empresas más sofisticadas del planeta.
Parte de la lejanía de estos temas con el mundo de los boards se debe, en parte, a que los responsables de la seguridad informática hablan como nosotros, los economistas, con un vocabulario ininteligible. Pero la “incomprensión de lenguaje” no justifica que el board eluda estas responsabilidades. Tal conducta, por cierto irreflexiva e imprudente, tiene al menos dos caminos para ser corregida: (a) asignar un board member capaz de preguntar a los expertos y de transmitir (o traducir) a sus pares la información recibida; (b) delegar esta tarea en personas o comités específicos que indaguen la situación e informen al board.
Como en muchas materias donde el desafío es enorme, lo que importa al board es la certeza de que su empresa cuenta con sistemas de protección cibernética superiores a los tienen empresas similares, locales e internacionales, disminuyendo así los eventos de un ingreso furtivo.
El día a día consume las preocupaciones de la Administración -es bueno que así sea- pero descuida temas críticos cuya solución, desde la perspectiva del board, puede ser más simple de lo que muchos suponen: demostrar que la empresa está mejor preparada que empresas afines para prevenir los ataques cibernéticos, reaccionar con prontitud frente a ellos y enmendar sus efectos. Para ello, nada mejor que indagar y no darse por satisfecho hasta obtener respuestas tranquilizadoras. Propongo, a continuación, algunas preguntas que los boards deben hacer:
- ¿Cuánto demoraría un buen hacker en vulnerar nuestros sistemas de seguridad? ¿Cuánto tardamos hoy en saberlo?
- ¿Qué hemos hecho antes, durante y después de esos ataques?
- ¿Cuántas veces nos han atacado y cuántos de esos ataques tuvieron éxito? ¿Qué entendemos por éxito?
- Cuando fuimos hackeados por terceros no conocidos, ¿Cómo lo hicieron?
- ¿Monitoreamos el flujo de información que sale de la compañía?
- ¿Por qué debo creer que todo está bajo control? Compruébamelo para quedar tranquilo.
- ¿Quién es el responsable de comunicar la desvinculación de un empleado que cumplía funciones en el área TI u otras relacionadas? ¿Cuál es el protocolo que debe seguir?
- ¿Cuál es el plan de contingencia ante un ataque y quiénes son los responsables? ¿Cuántos simulacros hemos hecho y cuál ha sido el resultado? ¿Cómo medimos esos resultados?
- ¿Hemos contratado hackers que nos vulneren de manera inadvertida para medir nuestras debilidades? ¿Dónde y cómo han navegado? ¿Qué resultados han tenido?
- ¿Hemos educado a nuestro personal con respecto al tema?
- ¿Hemos testeado la disposición de los empleados a seguir los procedimientos? ¿Cuál ha sido el resultado? ¿Hemos insistido con aquellos “incontinentes”?
- ¿Cada cuánto tiempo adiestramos y chequeamos al personal con respecto a buenas prácticas?
- ¿Cómo prevenimos que el personal se abstenga de navegar por áreas de información interna que no le son pertinentes?
Hay dos tipos de compañías que han sufrido ataques cibernéticos: (1) las que saben que sus sistemas de seguridad fueron intervenidos por hackers; y (2) las que fueron intervenidas o lo están siendo, pero no lo saben. En el ejercicio de sus deberes administrativos y de gestión, la / el CEO y su Gerente de TI deben responder estas inquietudes corporativas y satisfacerlas, ahora con el respaldo y presencia proactiva de un board que asume estas tareas como prioritarias.