¿Es la IA una cuestión estratégica para la compañía? ¿Cuántas soluciones de algoritmia se usan ya en la organización y para qué? ¿Tenemos el talento y cultura adecuados? ¿Hemos definido los límites y principios éticos para su uso? ¿Cuál es el modelo de gobierno existente para evitar que sea discriminatoria o poco transparente?

Éstas son sólo algunas de las preguntas que debemos hacernos desde el Consejo acerca de la Inteligencia Artificial (IA) . Y no porque la IA – o el CHatGPT – estén de actualidad, sino porque son tecnologías absolutamente estratégicas de las que no podemos prescindir si queremos asegurar el éxito de la compañía a medio plazo.

Sus ventajas son innumerables aunque también debemos sopesar sus riesgos, de ahí que de forma preventiva debamos definir un modelo de gobierno que sin frenar su utilización, garantice su uso responsable.

La IA es una de las tecnologías más potentes que el ser humano ha creado en los últimos tiempos y en el mundo corporativo se convierte en un elemento clave para crear oportunidades de negocio, satisfacer al cliente y mejorar la productividad. Sus beneficios son extraordinarios.

Sólo en el 2022 se han invertido más de $300 mil millones en IA. 9 de cada 10 empresas están trabajando en incorporarla a su modelo de negocio y en España son ya más del 40% de las compañías que utilizan la algoritmia, más o menos sofisticada, en sus procesos.

El lanzamiento del ChatGPT ha venido a acelerar este proceso. Su adopción está siendo muy rápida tanto como herramienta de apoyo (para traducir o resumir textos muy largos, escribir correos, contrastar normativa, etc), como para crear valor en la organización. A modo de ejemplo: Stradivarius lanzó recientemente una campaña 100% digital (tanto los modelos como los artículos fueron creados digitalmente); el buscador Finder.com creó con ChatGPT una cartera de inversión más rentable que la media de los grandes fondos británicos; o es el caso de compañías que utilizan ChatGPT para completar código y crear programas (por ejemplo en Phyton) para eficientar procesos.

En definitiva, estamos ante una era renovada de la Inteligencia Artificial en la que sólo vemos la punta del iceberg de lo que esta tecnología puede hacer por nuestras organizaciones.

Una oportunidad enorme que sin embargo, conlleva una dimensión de riesgos no menor, de ahí que sea éste un buen momento para definir desde el Consejo las bases que garanticen su uso responsable y con confianza.

Por un lado, asegurando que su incorporación a la compañía no es acelerada sino alineada a su estrategia corporativa, con el talento adecuado y para unos casos de uso bien definidos.

Y por otro lado, mitigando adecuadamente sus riesgos. Riesgos que no son sólo de negocio al delegar decisiones relevantes para la compañía en un algoritmo que con el tiempo puede ir perdiendo precisión y estabilidad, sino riesgos adicionales derivados de la propia naturaleza de la IA. Al fin y al cabo, se trata de una tecnología entrenada con datos históricos, por lo que puede o contener Sesgos (de género, religión, raza , etc) o ser poco Transparente o Explicable (sobre todo en modelos más sofisticados de Deeplearning como de redes neuronales o x-g boost) .

Desafíos inherentes a la IA, que tienen solución, pero que de no ser tratados proactivamente, podrían derivar en decisiones de negocio – sobre nuestros clientes o empleados – o bien discriminatorias o que vulnerasen otros de sus derechos fundamentales (por ej privacidad, derecho de acceso a un servicio, libertad de elección, etc) lo cual podría causar inéditos pero graves daños reputacionales o regulatorios a evitar.

Riesgos indeseados que a su vez vendrían acompañados de importantes sanciones económicas procedentes del amplio marco regulatorio que protege los derechos fundamentales de la persona entre los que destaca en su poder sancionador y en lo que respeta a la privacidad y confidencialidad de datos, el Reglamento General de Protección de Datos.

Ámbito jurídico de aplicación al que habrá que añadir en unos meses la primera norma que regula la Inteligencia Artificial en Europa y que viene acompañada por un importante paquete sancionador en caso de incumplimiento.

¿Y qué papel tiene el Consejo al respecto de la Inteligencia Artificial?

El Consejo tiene un papel clave en la incorporación de la IA en la compañía, tanto desde el punto de vista de la estrategia como de la supervisión de riesgos. Como máximos responsables de la compañía no podemos ser ajenos a un tema tan relevante.

Como palanca de crecimiento, tenemos que impulsar la incorporación de esta gran tecnología de forma gradual y con las garantías necesarias. Siendo conscientes de sus riesgos, debemos, sin embargo abordarlo desde la oportunidad y no desde el miedo.

Como garante principal en la gestión de riesgos, debemos ser responsables de su supervisión y de la definición del modelo de Gobernanza y Control adecuado para proteger a la compañia. Asegurando, entre otros, que existen en la compañía:

1. un Inventario de las soluciones de IA (o algoritmia más tradicional) que actualmente estén en uso en la organización, al objeto de que estén controladas y catalogadas según su criticidad.
2. una definición de “Principios básicos de Buen Gobierno de la IA” que reflejen no sólo los valores sino también la ética de la compañía, y que defina los límites en su uso así como el modelo de diligencia debida a seguir.
3. un Modelo de Gobierno adecuado, con roles y responsabilidades asignados según el modelo de 3 líneas de defensa, dónde la Auditoría Interna tendrá un papel fundamental, al igual que en otros riesgos tecnológicos como la ciberseguridad. Acompañado por un modelo de rendición de cuentas conforme a la materialidad de este riesgo dentro de la compañía.

En definitiva, seguir un enfoque proactivo y preventivo desde el Consejo para mitigar adecuadamente los riesgos de la Inteligencia Artificial pero sin limitar su gran potencial dentro de la compañía.

The post LA INTELIGENCIA ARTIFICIAL DESDE EL CONSEJO appeared first on Diligent - España.

Conseguir que el Consejo de Administración se comprometa con los asuntos relacionados con la ciberseguridad debería ser cada vez más fácil. Casi todas las empresas se han digitalizado, o están en proceso de hacerlo, y los riesgos de interrupción de la infraestructura informática y los datos que contiene son cada vez más claros. Los ciberataques a sectores y organizaciones ya llegan con frecuencia a los titulares, y el panorama regulatorio se ha vuelto cada vez más duro con las infracciones —accidentales o deliberadas— que implican datos personales.

Esta evolución se ha producido al mismo tiempo que un cambio rápido, causado por la pandemia, hacia una mano de obra repartida en distintos espacios. Ahora, muchos trabajadores inician sesión desde redes domésticas y con dispositivos personales, por lo que las posibilidades de sufrir un ciberataque se han ampliado y el modelo tradicional basado en perímetros de ciberseguridad ha desaparecido.

Los CISO, que han liderado la defensa de estas fronteras digitales en constante cambio, comprenden todos los detalles del alcance y la escala de los riesgos a los que se enfrenta la empresa, así como las consecuencias de no adoptar una estrategia de ciberseguridad sólida. Sin embargo, hay un reto al que aún nos enfrentamos: cómo conseguir el compromiso del Consejo de Administración.

 

El CISO y el Consejo de Administración: separados por un idioma común

En un seminario web de TEISS que provocó un animado debate, los expertos debatieron cómo conseguir que el Consejo de Administración se comprometa con la ciberseguridad. Jon Herd, vicepresidente de Seguridad de la Información de la empresa de infraestructura de pagos Paddle, describió un escenario que podría ser familiar para muchos directores de seguridad de la información en sus presentaciones al Consejo de Administración:

«Muchas veces he hablado con el Consejo de Administración muy seguro de mí mismo y, aun así, luego no ha cambiado nada. El resultado no fue el que esperaba, y me quedé pensando «¿Por qué no han entendido lo que les he explicado? ¿Por qué no han entendido que hacía tantos gestos porque estaba emocionado y no porque hablaba de caos?»

Esta barrera de comunicación entre los profesionales de la ciberseguridad y el Consejo de Administración se debe, parcialmente, al miedo, la incertidumbre y las dudas que sienten muchos expertos en temas distintos de la informática cuando se les habla de la escala de las amenazas digitales. Los ataques de ransomware aparecen con frecuencia en los titulares y las vulnerabilidades de la cadena de suministro ocupan cada vez más espacio en las columnas, por lo que los consejeros están familiarizados con la narrativa del caos, pero conocen menos las posibilidades que ofrece un enfoque robusto de la ciberseguridad a las empresas. Lo que el director de Seguridad de la Información (CISO) debe hacer es enmarcar la estrategia de ciberseguridad en términos que su Consejo de Administración pueda entender.

 

Vincular la estrategia de ciberseguridad a la estrategia empresarial

Los expertos de TEISS aconsejaron no explicar las características y capacidades de la tecnología en la que se quiere invertir, sino centrarse en lo que permite que la empresa obtenga.

Este enfoque está más cercano al objetivo principal del Consejo, que es crear valor para los grupos de interés. Para los profesionales de la tecnología, es esencial comprender el objetivo y la estrategia de la empresa de la misma manera que el Consejo de Administración, así como responder a la pregunta: «¿Cómo puedo garantizar que lo que estoy haciendo contribuye al éxito de la empresa?».

Esta perspectiva debe determinar cómo se presenta la información al Consejo de Administración y garantizar que reciban información relevante que les ayude a tomar decisiones empresariales. Los CISO deben plantearse cómo afecta la estrategia de ciberseguridad a todos los grupos de interés relacionados con el Consejo: inversores, clientes, empleados y organismos reguladores.

En relación con esto, debe explicarse no solo lo que la inversión en ciberseguridad evita que ocurra —el tiempo de inactividad, las pérdidas financieras y los riesgos de cumplimiento normativo—, sino también lo que posibilita: la continuidad del negocio, la confianza de los clientes, una mejor experiencia de los empleados y la reducción de la complejidad. Esto es particularmente pertinente a medida que las empresas van actualizando su tecnología de ciberseguridad para usar soluciones nuevas, más fáciles de usar y menos intrusivas. Si ahora puede gestionarse la administración de la identificación de los usuarios de forma segura con menos inconvenientes, por ejemplo, habrá un aumento de productividad inmediato.

Es importante articular el mensaje alrededor de las personas, los procesos y la tecnología. Si las presentaciones para el Consejo de Administración se centran en los productos tecnológicos más avanzados e impresionantes, puede ser difícil para los consejeros establecer una conexión con el día a día de la empresa y las personas que la conforman. Esto es algo que se entiende de una manera más clara en relación con otros temas de riesgo, como la salud y la seguridad, y debe ser extrapolable a la tecnología de seguridad.

Jon Herd está en el proceso de comprender mejor la forma de pensar del Consejo de Administración: «Estoy haciendo un curso de consejeros no ejecutivos, pero no porque quiera convertirme en uno […]. Quiero entender cuáles son sus objetivos y sus obligaciones, para poder comprenderlos mejor».

 

Integrar el ciberriesgo de los datos y la privacidad en el contexto empresarial

Una de las funciones principales del Consejo de Administración es la supervisión estratégica del riesgo. Hoy en día, esto incluye, sin duda, el riesgo relacionado con los datos y la privacidad. En algunas jurisdicciones se exige específicamente que los consejos de administración supervisen el ciberriesgo.

Sin embargo, es importante tener en cuenta que los consejos de administración se enfrentan a muchos flujos de riesgo y problemas empresariales diferentes, y el ciberriesgo es solo uno de ellos.

El CISO de Diligent, Henry Jiang, cree que esto puede convertirse en una ventaja, especialmente si los datos sobre el ciberriesgo pueden comunicarse en un formato conocido y sencillo: «El modelo correcto es traducir el ciberriesgo al idioma del Consejo de Administración. Debemos tratarlo en términos de riesgos para las personas, los procesos y la tecnología, ya que así lo comprenderán, y comunicarlo de forma clara y constante: ya hay plataformas tecnológicas que lo hacen. Los consejos de administración ya comprenden otros tipos de riesgo, como el crediticio, el normativo y el legal, ¿por qué no presentar el ciberriesgo como otro más?»

A la hora de hablar del ciberriesgo, los CISO deberían tratar de utilizar el mismo idioma que usan los responsables del riesgo empresarial, afirma dice Jon Herd: «En tecnología tenemos tendencia a inventar formas nuevas de hablar de las cosas», señala, pero eso puede ser contraproducente. «El riesgo es un idioma que muchos ya comprenden perfectamente, el elemento nuevo es la ciberseguridad […]. Deberíamos hablar con el director de Riesgo o con el director financiero, y preguntar: “¿Cuál es el marco y el idioma que debemos usar nosotros para que vosotros lo entendáis?”»

La frecuencia con la que los consejos de administración deben recibir informes sobre el ciberriesgo ha aumentado debido a la velocidad a la que evoluciona este. La pandemia ha traído una época en la que los consejos de administración se reúnen con mayor regularidad debido al increíble ritmo de los cambios y al reconocimiento de que los factores externos, como las ciberamenazas, pueden cambiar de la noche a la mañana. Esto también mejora la comprensión básica de los consejeros cuando sucede un incidente.

 

Mejorar las habilidades del Consejo de Administración en cuanto a ciberseguridad y del CISO en cuanto a la participación del Consejo de Administración

En el contexto actual, los CISO deben situarse en el «punto de inflexión entre la tecnología y el riesgo», dice Chris Dunning-Walton, fundador y MD de InfoSec People. Sin embargo, los consejos de administración no deben pensar que basta con chasquear los dedos para tener un CISO que les transmita la información estratégicamente.

Chris considera que el Consejo de Administración debe trabajar desde una posición intermedia y, en un área tan importante como el ciberriesgo, señala que estamos viendo designaciones en consejos de administración de consejeros no ejecutivos que anteriormente eran CISO de la empresa, para ofrecer una perspectiva desde su punto de vista y convertirse en una especie de traductor.

«Creo que es una solución a corto plazo; la solución a largo plazo es aumentar y desarrollar el conjunto de habilidades de ese líder en el campo de la informática de su organización, para ofrecerle formación y desarrollar sus habilidades de liderazgo, para que sean capaces de entrar en la sala de juntas y presentar la ciberseguridad no solo como reducción de riesgos, sino como una ventaja para la empresa» continúa Chris.

 

Utilizar la narración para comunicar la evolución de los riesgos y las recompensas a lo largo del tiempo

A los CISO puede resultarles difícil encontrar el equilibrio entre comunicar los mayores riesgos de cada momento y ofrecer un panorama más estratégico a largo plazo.

Henry Jiang aconseja a los CISO: «No hay que asustar al Consejo de Administración, sino ofrecerles un mensaje sólido sobre dónde se necesita apoyo, ya sea organizativo, financiero o en otras áreas. O puede informarles de que no hace falta apoyo en ese momento porque todo va bien».

Chris Dunning-Walton está de acuerdo, y añade: «El papel del CISO no es solo conseguir la mayor cantidad de dinero […]. Se trata de equilibrar las necesidades de la empresa con el riesgo externo […], no solo para tratar de obtener el mayor importe posible».

Desde su experiencia, Jon Herd sugiere: «No se limite a comunicar los mayores riesgos ni los que ocupen los titulares en ese momento. Cuénteles una historia, de la misma manera en que lo hacen Finanzas y Ventas, explicando: «Estábamos aquí, está sucediendo esto y hacia allí es donde vamos. Es una historia, no algo puntual».

Jon cree que este enfoque es el que consigue más compromiso, porque es lógico y tiene sentido para el Consejo de Administración en el contexto de la estrategia empresarial global. Crear una historia que ofrece un contexto a la ciberseguridad proporcional a la empresa y relacionarla con la cuenta de resultados, los costes, los riesgos y las recompensas implica que los consejeros vean la lógica de la ciberseguridad en relación con la misión y el objetivo de la empresa.

Descubra más consejos de expertos para conseguir que el Consejo de Administración se comprometa con la ciberseguridad: viendo este webinar y puede solicitar más información en la página web de Diligent.

The post Cómo conseguir la participación del Consejo de Administración en materia de ciberseguridad appeared first on Diligent - España.

 

En este artículo se aportan 4 pautas, sintetizadas en 4 frases guía, que ilustran el procedimiento que deben seguir el CISO (El Director de Sistemas de Información de una empresa) para transmitir a los líderes empresariales las claves que deben estructurar un protocolo corporativo cuando una empresa debe afrontar un ciberataque. Además, se detallan los ejes que conforman la prevención y gestión de una brecha de seguridad: preparación, identificación, contención, mitigación, recuperación y aprendizaje.

En ese proceso comunicativo, el CISO debe prescindir de la jerga técnica de su oficio, para hacer más inteligible su discurso, traduciendo el contenido de su mensaje a un vocabulario accesible a todos los componentes del Consejo de Administración o del equipo directivo de su organización. La idea es que el CISO salpimiente su relato con ejemplos comprensibles, que ayuden a dimensionar la gravedad (o complejidad) del evento a los consejeros y ejecutivos con los que mantiene la interlocución.

 

Hitos que delimitan un adecuado manejo de un ataque informático

Para profundizar en las claves que posibilitan un manejo competente de una ciberagresión, se recomienda estudiar con detenimiento las pistas que se aportan en este artículo centrado en la ciberseguridad, en el que se inspiran las pautas para solventar una brecha de seguridad que se aportan a continuación:

Preparación. Una correcta previsión y entrenamiento previo contribuyen de manera muy significativa a gestionar de manera eficiente un incidente. Entre los factores más importantes de esta fase está el hecho de disponer de información actualizada del personal (interno y externo) que puede manejar adecuadamente esta información. También resulta crucial mantener los procedimientos actualizados, definir las herramientas más valiosas para neutralizar la brecha de seguridad, cartografiar el alcance de los riesgos (por ejemplo, entre mitigados, transferidos y aceptados), así como afinar en la operativa de gestión y coordinación ante un ataque.

Identificación. El eje central de esta fase estriba en definir su origen, alcance e impacto, para así reconocer y reparar la brecha de seguridad. En ese propósito juega un papel muy importante registrar y monitorizar toda clase de eventos, sistemas, aplicaciones y anomalías. También contar con los instrumentos adecuados para medirlos y describirlos a los profesionales y equipos más capacitados, así como la recuperación de los mismos desde una copia de seguridad. Entre las acciones de mitigación, juega un papel relevante la recuperación de la última copia de seguridad limpia.

Recuperación. La clave de esta fase se centra en retomar el nivel de operación a su estado normal, y las áreas de negocio afectadas recuperarán su actividad.

Aprendizaje. Gracias a las métricas, se puede definir cuánto tiempo se tarda en resolver una brecha de seguridad con un alto impacto en los sistemas de la organización: desde que se notifica hasta que se resuelve. También resulta crucial delimitar cuál es el número de horas por profesional dedicadas a resolver incidentes de seguridad, al tiempo que se dilucida si es necesario incrementar la fuerza del trabajo.

 

4 principios-frase que orientan una gestión apropiada de una brecha de seguridad 

1) “Sí, somos conscientes que estamos sufriendo una brecha de seguridad y hemos iniciado el Plan de Continuidad de Negocio”. Con una frase tan sencilla como esta confirmamos que la información que ha recibido nuestro interlocutor de otras fuentes (un dato que, con suerte, no sale en prensa antes de que el CISO reporte la situación a los órganos de gobierno) es verídica y que el departamento de ciberseguridad está en proceso de manejarlo y resolverlo. Además, esta frase funciona como recordatorio sobre cuál es el plan de continuidad, y permite generar una sensación de manejo de la situación, acorde con el manual de gestión de crisis.

2) “Hemos identificado qué tipo de ataque hemos sufrido y sabemos el impacto que ha generado en la empresa”. Conocer la clase de ciberataque que hemos recibido determinará la respuesta que debemos de dar. Esa capacidad para identificar el problema tranquilizará al Consejo y les permitirá percatarse de que se están adoptando las medidas adecuadas. En ese sentido, resulta pertinente remarcar que los líderes no necesitan conocer todos los detalles de la situación ni querrán explicaciones pormenorizadas, pero sí necesitan saber que su experto en ciberseguridad está informado y actuando como la situación requiere.

3) “Hemos informado al INCIBE (el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España, operado por el Instituto Nacional de Ciberseguridad) y estamos colaborando con la agencia de RRPP (departamento de relaciones públicas de la empresa), nuestros abogados, y el departamento de comunicaciones internas a través de nuestra plataforma de comunicación segura”. Saber que se han tomado las medidas necesarias y se ha contactado con los proveedores pertinentes y se ha informado a los empleados, permitirá que ellos se centren en otros aspectos estratégicos en la gestión de una brecha de seguridad.

4) “A continuación os presento el progreso hasta el momento”. No hay que entrar en detalles, pero hay que mantener al Consejo de Administración y el equipo directivo continuamente informados. Para ello, va a ser necesario que el CISO se ocupe solo de comunicar el progreso en el correcto manejo de la crisis ante la ciberagresion. Una única interlocución favorece una sensación de control y orden en la gestión del ataque. La idea es manejar la situación con buenas dosis de neutralidad, capacidad comunicativa, adaptando el discurso a una realidad accesible para todos los consejeros y directivos, así mismo resulta pertinente ejercitar una atención activa a sus preocupaciones, gestos y preguntas, para construir un relato conectado con la realidad al tiempo que divulgativo de la situación (y de las medidas que se están desarrollando para mitigarla o resolverla).

En esa sintonía, también podría funcionar bien el procedimiento de que el CISO delegue esa función informativa en alguien en quien confía en su equipo, dotado de buenas cualidades comunicativas, para que cumpla esa función como interlocutor mientras se resuelve la brecha de seguridad. También es importante recordar que, aunque el CISO es el responsable máximo de la seguridad, dispone de una red de apoyo estimable que le puede apoyar para manejar la situación con más garantías. Esto se traducirá en que puede confiar en esos profesionales para recibir la actualización de cómo discurre la crisis, para lidiar con desajustes e imprevistos que se presenten durante el ciberataque y también para resolver las incidencias y para comunicarse con los proveedores externos.

Sea como fuere, no todas estas responsabilidades recaen en el CISO, de ahí el valor de contar con un equipo de expertos en nuevas tecnologías, competente y bien sincronizado. Finalmente, es fundamental que se recuerde, en todo momento, que los órganos de gobierno determinarán si la resolución de la brecha de seguridad ha sido pertinente o no y esa valoración tendrá consecuencias evidentes para el puesto de trabajo del experto en ciberseguridad.

The post 4 frases que debes mencionar cuando sufras una brecha de seguridad appeared first on Diligent - España.

En este artículo detallamos cuál es el papel que el CISO debe desempeñar en el Consejo de Administración. Expresado de manera sintética, el CISO debe garantizar que el Consejo de Administración comprende la estrategia de ciberseguridad de la empresa. Para lograr esa comunicación efectiva, el CISO debe evitar algunos errores comunes en su relación con el Consejo de Administración, como emplear un lenguaje de seguridad demasiado técnico. En este artículo, especificamos ese tipo de fallos, para favorecer su corrección y contribuir a pulir el papel del CISO en el Consejo de Administración. También explicamos el valor que juega el rol que desempeñan los CISO en la elección de métricas que generen un valor añadido para posibilitar y medir el éxito de la estrategia de ciberseguridad. También resulta crucial que los CISO sepan responder de una manera sencilla y pedagógica a las preguntas que les pueden plantear desde el Consejo de Administración, como por ejemplo explicar con claridad cuál es la estrategia de nuestra organización en términos de seguridad o transmitir adecuadamente la visión sobre el riesgo a nuestros clientes.

Elegir métricas de ciberseguridad significativas

Los directores de seguridad de la información (CISO) manejan cientos de métricas de seguridad cibernética, pero solo una fracción de ellas será relevante para el Consejo de Administración y el C-Suite. Un buen CISO es capaz de espigar los datos más relevantes y comunicarlos con un criterio coherente, de una manera inteligible, elaborando un relato comprensible, desprovisto de detalles técnicos complejos.

6 pasos para seleccionar métricas de ciberseguridad

1) Concéntrese en los datos que marcan la diferencia en la toma de decisiones. Escoja aquellas métricas que posibilitan ejecutar decisiones comerciales o que ofrecen una información útil para el desarrollo de esa clase de directrices.

2) Delimite qué es un riesgo bajo, medio y alto. A pesar de que existen marcos de riesgo de ciberseguridad, se ha desarrollado poca estandarización en la seguridad de la información. De ahí que sea tan importante fijar una pauta general que establezca diferentes tipos de riesgos, así como umbrales para contribuir a priorizarlos.

3) Organizar métricas por departamentos. Discriminar datos por departamentos permite afinar en la gobernanza y las operaciones de seguridad. Al disponer de una información más pormenorizada, sus ejecutivos tomarán decisiones más afinadas con la realidad y los retos que presentan sus equipos.

4) Analice la eficiencia con la que se reducen riesgos. Esta pauta habla de la calidad y celeridad con la que se establecen las reparaciones. Por ejemplo, es importante saber cuáles de ellas están abiertas después de 60 días.

5) Emplee la tecnología adecuada. La idea es que use un software potente y competente, que sea capaz de alternar información de reglamentos tan diversos como el RGPD (el Reglamento General de Protección de Datos europeo) o el HIPAA (Ley de Transferibilidad y Responsabilidad del Seguro Sanitario, por sus siglas en inglés, una de las leyes de protección de datos que afecta a franjas de población más amplias en los Estados Unidos).

Resulta esencial que su solución tecnológica pueda procesar datos a través de un motor de análisis con alta capacidad, al tiempo que los organiza con eficiencia y crea gráficos que los ilustran, a través de una solución de gestión de ciberseguridad centralizada.

6) Esté preparado para comparar. El Consejo a menudo querrá disponer de una comparativa entre la postura de seguridad de su organización y la de la competencia, con la idea de que su apuesta sea más fiable y consistente en el corto y medio plazo, ya que es un factor competitivo que hará más atractiva su propuesta en términos de rentabilidad.

Presentación de riesgos de ciberseguridad en el Consejo

Los CISO deben ser capaces de articular una narrativa del riesgo de seguridad cibernética como una oportunidad comercial estratégica (explicando por qué aporta valor a su entidad) en lugar de que todo su discurso se centre en el riesgo operativo. También es importante que el CISO expliqué al Consejo de Administración el valor que aportan las métricas para tangibilizar avances en el cumplimiento de objetivos y estar alineadas con los propósitos de la organización. Se trata en definitiva de aceptar el reto de convertir los fríos números en una historia que transmita capacidad de resiliencia empresarial y creación de valor, que armonice el pasado, el presente y el futuro de su organización.

Algunos errores bastante frecuentes que el CISO debe evitar en su interlocución con el Consejo de Administración

Para nutrir este epígrafe, nos hemos remitido a este valioso artículo de Computerworld, que ilustra muy bien la clase de problemas de comunicación que a veces dificultan el entendimiento entre el CISO y el Consejo de Administración. El fallo más habitual es que a los Directores de Seguridad les suele gustar refugiarse en jerga técnica para validar su papel, pero esos tecnicismos generan una falta de compresión en los componentes del Consejo de Administración, que suele traducirse en falta de atención e, incluso, irritabilidad por no poder seguir con fluidez el hilo de la comunicación. Para evitar esa desconexión, los CISO deben enfocar su mensaje en cómo la seguridad posibilita al negocio explorar nuevos mercados, modelar nuevas iniciativas y minimizar la exposición a pérdidas anuales. En opinión de Peter Prizio, CEO de Booz Allen Hamilton, los CISO necesitan orientar su trabajo y su relato en los aspectos que más le importan a la empresa: preservar y fortalecer su reputación, custodiar las claves de información (relativas a productos, servicios, clientes y stakeholders), así como garantizar las operaciones comerciales.

Preguntas habituales que un CISO debe saber responder cuando interactúe con el Consejo 

Además, resulta esencial que el CISO esté mentalizado (y haya elaborado previamente una narrativa satisfactoria) para atender a las preguntas que se destacan en este informe de Galvanize. Se trata de cuestiones que, con frecuencia, los consejeros suelen formular cuando el CISO presenta la estrategia de ciberseguridad al Consejo. Entre esas preguntas, el CISO debe clarificar cuál es la postura de seguridad de nuestra organización. O, lo que es lo mismo: aclarar el nivel de madurez de la empresa antes, durante y después de un ciberataque. En ese sentido, no es lo mismo la prioridad de seguridad de una empresa centrada en el comercio electrónico, para la que es fundamental la operatividad de la plataforma de venta, que la de una empresa de tecnología, más enfocada en proteger la integridad de sus datos. En ese discurso, también ocupa un papel preferente responder a la pregunta de qué se está haciendo para mitigar el riesgo de terceros y salvaguardar nuestra cadena de suministro.

Sea como fuere, los riesgos de terceros no hacen más que incrementarse, sobre todo entre las organizaciones que se están estructurando a partir de las tecnologías emergentes, como por ejemplo la computación en la nube (un modelo de entrega donde el almacenamiento, los servidores, las aplicaciones y otros elementos se entregan por Internet). En esa cartografía de riesgos, se incluye una casuística que contempla la posibilidad de que un ex-empleado utilice una cuenta de red social de su compañía y publique algo inapropiado. También resulta esencial organizar un protocolo de relaciones públicas que contribuya al control de daños, si lo necesitamos (de esta manera, nos ahorraremos una gran cantidad de tiempo, recursos, estrés y daño reputacional si se nos ocurre configurar esa estrategia en pleno desastre de ciber-agresión).

 

The post El papel del CISO en el Consejo de Administración appeared first on Diligent - España.

El desarrollo exponencial de la tecnología y la digitalización ha generado unas reglas de juego en las que la ciberseguridad y el riesgo cibernético resultan centrales para la continuidad del negocio. A raíz de la pandemia desencadenada por la Covid-19, muchas empresas han optado por la fórmula laboral de que muchos de sus profesionales trabajen desde casa. Simultáneamente a este cambio de paradigma de producción empresarial, los ataques cibernéticos, en particular los ataques de ransomware, también han aumentado significativamente. En este contexto, los Consejos de Administración deben comprender mejor los ataques cibernéticos y la regulación cibernética para llevar a cabo una gestión de riesgos efectiva. En este artículo, se detallan los principales riesgos que afronta su organización en materia de ciberseguridad, al tiempo que se aportan pautas que permiten articular un plan contra ciberataques de garantías.

Retos que representa la ciberseguridad para el Consejo y dirección de su organización

Como miembro del Consejo de Administración, o como CEO, es crucial mantenerse actualizado en materia de ciberseguridad y velar por una supervisión eficaz de los problemas cibernéticos. También resulta estratégico cuidar la capacidad de la empresa para superar las amenazas cibernéticas que evolucionan a gran velocidad, al tiempo que ganan en complejidad y sofisticación, lo que dificulta su detección y mitigación.

En suma, cada vez resulta más relevante y necesario proteger de forma segura los datos de una empresa, tanto la información organizativa como la que atañe al ámbito  personal de los empleados y/o clientes.

Comparativa de las empresas del IBEX 35 con sus vecinos europeos para modelar un plan contra ciberataques

Tanto en nuestro país como a escala europea se están configurando reglamentos y leyes de protección de datos relevantes. En esa vertiente funciona el Reglamento General de Protección de Datos de la UE (RGPD), que funciona como piedra angular del sistema de regulación sobre protección de datos y privacidad. El RGPD se implementó el 25 de mayo de 2018 y reemplaza la Directiva de 1995 (Directiva de protección de datos). El objetivo de GDPR es dar más control a las personas cuando se trata de organizaciones que revelan o eliminan datos personales almacenados. Además, el RGPD se aplica a todos los estados que integran la Unión Europea (UE) para facilitar el tratamiento de la protección de datos personales en toda Europa.

Una organización que opere bajo la legislación de la Unión Europea podría recibir una multa de hasta 20 millones de euros si no gestiona adecuadamente la protección de sus datos, o el 4 % de la facturación global anual de la empresa, de acuerdo con las directrices que estipula el RGPD.

Cómo están gestionando su plan contra ciberataques las empresas del IBEX-35

Conforme a la información elaborada por el diario El Confidencial, el Centro Nacional de Inteligencia (CNI), Seguridad Nacional y las grandes empresas del Ibex 35 han conformado  una estrategia ante la guerra económica derivada de la invasión rusa a Ucrania. En fechas recientes, los responsables del servicio secreto español, del órgano asesor del presidente y compañías como Telefónica o el Banco Santander se han reunido para valorar e implementar medidas para velar por más garantías por los intereses españoles en el ámbito digital.

Según informan en ElPlural.com, el plan contra ciberataques acordado por las grandes empresas del IBEX 35 y el Centro Nacional de Inteligencia (CNI) y de Seguridad Nacional para diseñar una estrategia conjunta y protegerse de las ofensivas,  tiene como eje de rotación que la Unión Europea (UE) y Estados Unidos compartan tanto información como procesos con el objetivo de frenar la ciberguerra. Además, se estudia aplicar  sanciones más restrictivas contra Rusia y profundizar en la coordinación de las empresas con los gobiernos de sus países y, a su vez, con los entes supranacionales.

Desde El Confidencial se explican las consecuencias derivadas de la guerra en Ucrania y se detalla que los problemas no radicarán en las entidades bancarias, pues su exposición es muy baja; sino en las empresas industriales vinculadas con la energía, fundamentalmente. En ese sentido, se prevé un incremento de la morosidad así como una contracción al crédito por la incertidumbre que genera la invasión. En ese escenario, se dedicará una atención especial a los clientes que, por el decrecimiento de sus ingresos, puedan faltar a sus pagos. El turismo también se analiza con detalle por las mismas razones.

Por su parte, el Gobierno de España ha anunciado que aprobará “próximamente” un plan nacional contra ciberataques. El plan integrará un centenar de actuaciones, entre ellas la creación de una serie de indicadores de ciberseguridad a escala nacional, como la constitución del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus organismos públicos. Además, se desarrollará e implementará la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes y de Amenazas. En esa dirección, a propósito de la aplicación de los fondos europeos, el Gobierno estima  adjudicar licitaciones por valor de más de 400 millones de euros, que serán manejadas por el Instituto Nacional de Ciberseguridad.

Cómo los expertos en tecnología del Consejo optimizan la seguridad cibernética

Una forma en que las empresas pueden garantizar de manera efectiva que la ciberseguridad ocupe el papel que merece en las deliberaciones del Consejo de Administración es garantizar el nivel de fluidez del Consejo de Administración sobre el tema. En ese sentido, resulta esencial que los componentes del Consejo, o al menos un porcentaje significativo del mismo, sean considerados expertos en tecnología, lo que contribuirá a impulsar el cambio necesario mientras hacen las preguntas adecuadas. A ese respecto, una investigación elaborada por Mckenzie, revela que la incorporación de tres o más expertos en tecnología en su Consejo comporta el potencial de incrementar notablemente la estrategia de rentabilidad de la compañía.

¿Cuántos expertos en tecnología hay en los Consejos del Ibex 35 en comparación con otros grandes índices de países vecinos?

De acuerdo a la base de datos conformada por Diligent, a través de la plataforma de Diligent Compensation and Governance Intel, uno puede conocer de qué experiencia y capacidades dispone una empresa en su Consejo de Administración.

Los datos revelan que el promedio de personas con experiencia en tecnología en el Ibex 35 es de 1,09, que es el más pobre entre los índices más relevantes analizados. Este dato contrasta, por ejemplo, con un promedio de 4,36 consejeros con experiencia en Tecnología en el AEX de Holanda.

El camino a seguir para elaborar un plan contra ciberataques

Cuando se trata de custodiar los datos contra ataques cibernéticos, es fundamental desarrollar un esfuerzo colectivo entre empresas, gobiernos y otros organismos reguladores para combatir y proteger los datos. Evidentemente, ni siquiera las instituciones gubernamentales están exentas de esta amenaza. Si su empresa carece de liderazgo tecnológico, asegúrese de incorporar el talento adecuado. La tendencia de conformar un plan contra ciberataques consistente es tan fuerte que algunas empresas incluso han comenzado a introducir comisiones del Consejo de Administración centrados en la tecnología.

Además de designar consejeros expertos en tecnología, es muy importante que exista una comunicación sólida entre el CIO, el CISO, el CEO y el Consejo de Administración. En la mayoría de las organizaciones, los profesionales de la seguridad cibernética se encuentran al menos a dos niveles por debajo del Director Ejecutivo en la jerarquía de la empresa, con pocas oportunidades de discusión directa sobre problemas y prioridades de protección. Esta realidad deberá reformularse para ganar en eficiencia al articular un plan sólido contra ciberataques, ya que suele haber falta de comunicación entre el C-Suite y el equipo de funciones cibernéticas.

The post ¿Están preparadas las empresas del IBEX 35 para hacer frente a un ciberataque? appeared first on Diligent - España.

En este artículo se contextualizan, describen y explican los posibles riesgos que las empresas españolas deben tener en cuenta en relación con la guerra entre Ucrania y Rusia. Al analizar la crisis generada en Ucrania y los riesgos empresariales que ha avivado la invasión rusa de ese país, abordamos con detalle los riesgos cibernéticos, así como las dificultades y peligros que conllevan los proveedores que puedan tener relaciones con Rusia o Ucrania.  En esa dirección, resulta crucial mantener bien informados a los grupos de interés sobre nuestras acciones, relativas a la crisis de Ucrania y los riesgos empresariales que este cambio comporta.

Los efectos de la crisis de Ucrania en la economía rusa y mundial 

En solo unas semanas, la invasión rusa de Ucrania ha generado una serie de crisis que se traducen en costes en vidas humanas, así como la interrupción de múltiples relaciones comerciales y un impacto económico de calado. Además, millones de ucranianos se han sumado a las decenas de millones de refugiados desplazados por la guerra y por diferentes crisis humanitarias que existen en todo el mundo. Al mismo tiempo, las sanciones y la opinión pública han incitado a muchas de las principales corporaciones del mundo a retirar su dinero y dejar de operar y comercializar sus productos y servicios en Rusia. En esa dirección, parece que las sanciones comerciales, los congelamientos de activos bancarios y otras acciones han inmovilizado cientos de miles de millones en reservas rusas en todo el mundo. Esas acciones también han causado la caída más pronunciada del rublo desde 1998. Detalle relevante si consideramos que hablamos de la moneda de la que, hace no tanto, era la undécima economía más grande del mundo.

En esa dirección, se prevé que las empresas de todo el mundo y de todas las industrias experimenten repercusiones comerciales y de gobierno en los próximos años, derivadas de la crisis de Ucrania y de los riesgos empresariales que conlleva. Para comprender la magnitud de los retos que comporta esta crisis, es interesante la reflexión al respecto que ha elaborado Michael Peregrine, socio de la firma de abogados internacional McDermott Will & Emery: “es probable que las nuevas realidades globales duras, complejas de gestionar, que surjan de la invasión Rusa de Ucrania, afecten el discurso político, las prioridades gubernamentales, la articulación del clima laboral y la confianza del consumidor¨.

Para manejar con acierto esta compleja situación jugarán un rol fundamental los CIO/CISO, garantes finales de anticipar y eludir los riesgos empresariales derivados de la crisis de Ucrania y de velar por el cumplimiento normativo.

Claves de ciberseguridad para minimizar los riesgos empresariales de la crisis de Ucrania 

Rusia funciona como un actor cibernético de primer orden en el tablero de la economía digital planetaria. Su capacidad de influencia ha quedado de relieve en situaciones geopolíticas relevantes a escala mundial, como las elecciones de Estados Unidos o el proceso independentista de Cataluña aquí en España. En ese sentido, el think tank Real Instituto Elcano habla de “desinformación (deziformatsiya) como práctica del régimen ruso diseñada para engañar y desorientar al oponente, influir en sus decisiones y socavar su eficiencia política, económica y militar”. Se trata de un “método militar asimétrico e indirecto en la guerra híbrida que Rusia libra en Europa y EEUU” desde hace ya unos cuantos años.

Con el nuevo escenario, propiciado por su invasión de Ucrania, Rusia ha dirigido su malware, ransomware y demás recursos de su arsenal de ciberataques tanto a Ucrania como a las naciones que imponen sanciones en defensa de Ucrania. En ese sentido, una publicación de referencia en el ámbito empresarial, Harvard Business Review, ya constató en febrero que varias “compañías estadounidenses registraron un aumento dramático de las agresiones cibernéticas”.

También resulta muy significativo que más de 100 de las empresas Fortune 500 del mundo dependen, al menos parcialmente, de los servicios de TI de Ucrania.

Factores para fortalecer la ciberseguridad

Proteja las comunicaciones ejecutivas y del Consejo de Administración a través de portales seguros y aplicaciones de mensajería segura. 

• Custodie con las herramientas más fiables los datos confidenciales en toda su organización.
• Actualice y ensaye los planes de continuidad del negocio. ¿Cómo se comunicará y mantendrán las operaciones en funcionamiento si se roban datos críticos o fallan los sistemas clave?

Retos que representa la aplicación normativa de las sanciones a Rusia 

Estamos en un escenario altamente complejo, en el que las sanciones económicas a Rusia dificultan el cumplimiento normativo. Un artículo de la agencia informativa Reuters del 27 de febrero describió los problemas y tensiones que se generaron entre la alta gerencia y los equipos de compliance de los principales bancos para comprender las sanciones impuestas a Rusia y su sistema bancario: “con los mercados financieros globales listos para abrir en cuestión de horas, se desarrollaron llamadas frenéticas a los gobiernos y reguladores para solventar los vacíos de conocimiento derivados de las directrices de los gobiernos”.

Para complicar aún más las cosas, las sanciones y el riesgo de incumplimiento normativo se extienden a lo largo de toda la cadena de suministro, así como a las subsidiarias y las entidades globales de una corporación. Pongamos algunos ejemplos para comprender cómo afectan esas interdependencias a los riesgos empresariales que la crisis de Ucrania genera: por ejemplo, la industria de chips de EE. UU. depende del neón de Ucrania. Por su parte, Rusia exporta varios elementos críticos para la construcción de semiconductores, automóviles y motores a reacción que se construyen a lo largo de todo el planeta.

Pautas para mitigar los riesgos empresariales en la crisis de Ucrania 

El bufete de abogados estadounidense Fox Rothschild explica que “las empresas deben tomar medidas inmediatas para revisar sus relaciones con clientes, prestamistas y socios comerciales. La idea es liquidar negocios con entidades restringidas cuando corresponda, y examinar la clasificación de exportación de los artículos que se exportan, reexportan y transfieren, para garantizar así el cumplimiento de estas crecientes restricciones internacionales”.

Además, conforme evoluciona este panorama, las empresas de todas las industrias deberán monitorear de cerca los medios globales, el panorama regulatorio y su propia exposición al riesgo para identificar proactivamente problemas potenciales y protegerse contra el escrutinio regulatorio y el daño a la reputación.

De lo contrario, podrían exponerse a una situación como la que ha vivido Porcelanosa la semana pasada cuando ha tenido que lidiar con una crisis reputacional tras la acusación del Presidente ucraniano en el Congreso de los Diputados de que la empresa mantenía sus relaciones comerciales con Rusia.

Elementos para mejorar su visibilidad y capacidad de respuesta 

Ante la actual dinámica, lo mejor que se puede hacer es optimizar el manejo de datos, algo se consigue a través de herramientas que centralizan los registros y la documentación, tanto de nuestra propia entidad como de aquellas organizaciones con las que colaboramos, así como con entidades subsidiarias.

Las demandas de los clientes en relación a la crisis de Ucrania y la gestión de riesgos empresariales

Los clientes también quieren comprobar que las marcas con las que hacen negocios toman  medidas de sanción contra Rusia, por la invasión de Ucrania que está realizando. En una encuesta reciente, elaborada  por la revista Forbes, tan solo el 4% de los encuestados quiere que las empresas mantengan sus negocios en Rusia y no se pronuncien en absoluto a favor de Ucrania. Además, los activistas climáticos también están presionando en esa dirección: una coalición de más de 75 grupos climáticos ha enviado una solicitud a 100 instituciones financieras para que dejen de financiar, invertir y asegurar empresas en las industrias del carbón, el petróleo y el gas de Rusia.

Resumen de cómo gestionar con acierto la crisis de Ucrania y sus riesgos empresariales

• Comunicarse frecuente y exhaustivamente con inversores, accionistas, clientes y empleados para comunicar, coordinar y verificar las precauciones que está tomando para cumplir normativamente con las sanciones a Rusia.
• Aprovechar las oportunidades de comunicación proactiva y positiva cuando sea posible.
• Asegurarse de que su Consejo de Administración tiene implementadas las mejores prácticas seguras de gobierno, riesgo y cumplimiento.

Es imprescindible contar con las soluciones que garanticen la seguridad de sus comunicaciones además del cumplimiento normativo, y que permitan a su empresa responder rápidamente a una crisis reputacional o a un posible ciberataque. Si quiere saber cómo podemos ayudarle desde Diligent póngase en contacto con uno de nuestros representantes en este enlace. 

The post Gobierno corporativo, riesgo y cumplimiento durante la crisis de Ucrania appeared first on Diligent - España.