DIRECTORIOS: SUPERVISIÓN DEL RIESGO CIBERNÉTICO

En un mundo cada vez más digitalizado, la ciberseguridad es una variable trascendental para la estrategia empresarial, el desempeño financiero y la reputación corporativa. El reciente informe de PwC “Cyber reporting to the board: what CISOs need to know”, destaca la imperiosa necesidad de fortalecer la supervisión del riesgo cibernético desde el nivel más alto de la organización. Asimismo, subraya la importancia de contar con un gobierno corporativo sólido, una gestión integral de riesgos y un programa riguroso de cumplimiento que incluya una supervisión y un monitoreo constantes por parte del directorio y sus comités.

El informe plantea que muchos directorios están demandando reportes claros, concisos y sin tecnicismos, que muestren la conexión directa entre el riesgo cibernético y los resultados del negocio. En ese sentido, el reporte debe convertirse en una herramienta estratégica que facilite la toma de decisiones más que una obligación de cumplimiento. Para ello, los CISOs (Chief Information Security Officers) deben estandarizar sus reportes integrando métricas clave que permitan identificar la exposición de la empresa frente a amenazas, la efectividad de las acciones tomadas, la capacidad de respuesta frente a incidentes graves y el cumplimiento de regulaciones vigentes.

Una tendencia positiva es la adopción de scorecards o tableros de control cibernético, que brindan una visión consolidada y estructurada de los riesgos. Estos instrumentos son esenciales para que los directores puedan evaluar inversiones en ciberseguridad, anticipar amenazas emergentes y hacer seguimiento riguroso a indicadores clave, facilitando así una supervisión efectiva, tal como lo hacen cotidianamente con otras áreas del negocio.

La complejidad del entorno cibernético, cada vez más crítica, obliga a que la ciberseguridad trascienda los esquemas técnicos y se convierta en parte integrante del gobierno corporativo. Un marco de gobierno fortalecido asegura que el directorio y sus comités, en particular el comité de auditoría y riesgos, tengan claros los roles, responsabilidades y mecanismos para supervisar el riesgo cibernético con rigor y profundidad. Esta supervisión activa exige informar con regularidad e integrar reportes que abarquen desde el panorama de amenazas hasta el avance en planes de mitigación, cumplimiento normativo y gestión de proveedores.

Al estandarizar los informes y alinearlos con el impacto en unidades de negocio específicas, el directorio adquiere una visión integrada del riesgo, alejando así cualquier enfoque aislado o fragmentado. Este enfoque transversal facilita, además, la identificación de brechas y fortalezas a nivel corporativo, permitiendo priorizar inversiones y estrategias adecuadas a la realidad de la organización.

La gestión del riesgo cibernético debe ser entendida como un proceso estratégico de la empresa y debe ser adecuadamente comunicada al personal como parte esencial de la cultura organizacional relacionada con riesgos, desarrollo de talento y el alineamiento con marcos de referencia reconocidos internacionalmente como el NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos).

Además, un reporte efectivo debe contemplar el estado de cumplimiento de las normativas y la preparación para responder ante cambios regulatorios, puesto que las regulaciones en materia de privacidad, protección de datos y seguridad informática evolucionan constantemente. La gestión de riesgos vinculada a terceros, como clientes, proveedores y socios, también es un aspecto crítico que debe integrarse en estos reportes para evitar impactos externos inesperados.

El fortalecimiento de la supervisión a través del directorio y sus comités es crucial para garantizar que la gestión del riesgo cibernético se mantenga alineada con los objetivos del negocio y las mejores prácticas del mercado. Más allá de la frecuencia del reporte, es indispensable que los contenidos sean comprensibles, incluyendo no solo indicadores, sino también análisis claros, lecciones aprendidas de incidentes propios o de terceros, y evidencias sobre la eficacia de los controles implementados.

El directorio debe utilizar estos reportes para saber: ¿Cuál es la exposición al riesgo? ¿Las acciones que se están tomando son suficientes? ¿La organización está preparada para un ataque significativo? ¿Se cumple con la regulación? Responder sistemáticamente a este tipo de interrogantes permite mantener una supervisión proactiva, agregando valor real y evitando que la ciberseguridad sea vista solo como un área de soporte o cumplimiento.

La ciberseguridad llegó para quedarse como un elemento importante que mitiga el riesgo estratégico y que impacta transversalmente todas las áreas de negocio. Para enfrentar este desafío con éxito, se requiere un gobierno corporativo robusto que dé soporte a una gestión de riesgos y cumplimiento integral, y un directorio activo que supervise y monitoree de forma constante y efectiva. La implementación de reportes estandarizados, vinculados claramente al impacto en el negocio, facilita una comprensión profunda que, a su vez, permite anticipar riesgos y responder con agilidad y eficiencia.

Los líderes de seguridad (CISOs) tienen el reto, pero también la oportunidad, de transformar el reporte cibernético en un instrumento fundamental para la gobernanza, entregando información relevante que conecte la seguridad con el valor y la continuidad del negocio. Solo así, las empresas podrán navegar con éxito en un entorno cada vez más complejo y amenazante, protegiendo a sus clientes, empleados y accionistas, y asegurando su sostenibilidad a largo plazo.

“El riesgo viene de no saber lo que estás haciendo.” (Warren Buffett)

Por ello, fomentemos organizaciones que fortalezcan sus estructuras y construyan futuros sostenibles.