¿Cuál es el rol de un Directorio respecto a la ciberseguridad de su entidad?
La ciberseguridad es el principal riesgo de negocio hoy día, y como tal debe ser entendida y discutida en los directorios de todas las entidades. Esto es difícil porque no siempre los directores tienen los conocimientos técnicos necesarios para entenderla. Pero no es excusa. En 2017 el World Economic Forum publicó en colaboración con The Boston Consulting Group y Hewlett Packard Enterprise un extraordinario paper titulado Advancing Cyber Resilience: Principles and Tools for Boards, que propone las expectativas para un directorio respecto a ciberseguridad.
Estas expectativas se explican a través de 10 principios, y cada principio se desagrega en preguntas específicas con lenguaje sencillo que explican cómo interpretar el principio. Las preguntas también permiten que un directorio se autoevalúe respecto a si está cumpliendo su rol en relación a ciberseguridad. En mi experiencia trabajando con varios directorios, estas preguntas son fundamentales para generar un plan de trabajo entre gerencia y directorio que sirve para construir un entendimiento común sobre ciberseguridad y la situación de la entidad, y para consensuar un lenguaje y herramientas de discusión futura.
A continuación, a modo de abre boca, comparto con Uds los 10 principios mencionados en una traducción libre. Visiten el paper para ver las preguntas que acompañan a cada principio.
Principio 1: Responsabilidad por la ciberresiliencia. El directorio en su conjunto asume la responsabilidad final de la supervisión del riesgo y la resiliencia cibernéticos. El directorio puede delegar la actividad de supervisión primaria a un comité existente (por ejemplo, un comité de riesgos) o un comité nuevo (por ejemplo, un comité de resiliencia cibernética).
Principio 2: Dominio del tema. Los miembros del directorio reciben orientación sobre resiliencia cibernética al unirse y se les actualiza periódicamente sobre amenazas y tendencias recientes, con asesoramiento y asistencia de expertos externos independientes disponibles según se solicite.
Principio 3: Oficial responsable. El directorio garantiza que un funcionario corporativo sea responsable de informar sobre la capacidad de la organización para gestionar la resiliencia cibernética y el progreso en la implementación de los objetivos de resiliencia cibernética. El directorio garantiza que este funcionario tenga acceso regular a la junta, suficiente autoridad, dominio del tema, experiencia y recursos para cumplir con estos deberes.
Principio 4: Integración de la ciberresiliencia. El directorio garantiza que la administración integre la resiliencia cibernética y la evaluación de riesgos cibernéticos en la estrategia comercial general y en la gestión de riesgos en toda la empresa, así como en el presupuesto y la asignación de recursos.
Principio 5: Apetito de riesgo. El directorio define y cuantifica anualmente la tolerancia al riesgo empresarial en relación con la resiliencia cibernética y garantiza que esto sea coherente con la estrategia corporativa y el apetito por el riesgo. El directorio recibe asesoramiento sobre la exposición de riesgo actual y futura, así como sobre los requisitos regulatorios y los puntos de referencia de la industria/sociedad para el apetito por el riesgo.
Principio 6: Evaluación y presentación de informes de riesgos. El directorio responsabiliza a la gerencia de informar una evaluación cuantificada y comprensible de los riesgos, amenazas y eventos cibernéticos como un punto permanente de la agenda durante las reuniones del directorio. Valida estas evaluaciones con su propia evaluación de riesgos estratégicos utilizando el marco de apetito de riesgo cibernético aprobado por el directorio.
Principio 7: Planes de resiliencia. El directorio garantiza que la dirección apoye al responsable de la resiliencia cibernética mediante la creación, implementación, prueba y mejora continua de planes de resiliencia cibernética, que estén adecuadamente armonizados en toda la empresa. Requiere que el funcionario a cargo supervise el desempeño e informe periódicamente al directorio.
Principio 8: Comunidad. El directorio alienta a la gerencia a colaborar con otras partes interesadas, según sea relevante y apropiado, para garantizar la resiliencia cibernética sistémica.
Principio 9: Revisión. El directorio garantiza que anualmente se lleve a cabo una revisión formal e independiente de la resiliencia cibernética de la organización.
Principio 10: Eficacia. El directorio revisa periódicamente su propio desempeño en la implementación de estos principios o busca asesoramiento independiente para la mejora continua.
Espero que estos principios y las preguntas que los acompañan te ayuden a conversar sobre ciberseguridad en el directorio de tu entidad.
Sigue toda la información de Open Hub News en X y Linkedin , o en nuestra newsletter.