Espionaje corporativo, terrorismo y ciberataques están provocando la necesidad de nuevos perfiles de altos ejecutivos que entiendan todos los aspectos de la gestión de riesgos y seguridad. “Muchas empresas están dándose cuenta de cómo las destructivas brechas de seguridad de todo tipo pueden causar daños físicos y costos reales por la pérdida de la reputación y la recuperación del cliente”, explicó Jeremy King, presidente de Benchmark Executive Search.
Por ello un número creciente de empresas están añadiendo a su organigrama un nuevo miembro, el Chief Risk Officer (CRO), con un impacto directo en los programas de seguridad de las empresas. El aumento de este perfil es una tendencia que todavía tiene que despegar. “Aunque muchas empresas importantes ya han incorporado un CRO que supervise los posibles riesgos, la mayoría de compañías aun tienen que tomar ejemplo”.
El rol de CRO está en constante cambio y evolución para poder adaptarse a las necesidades de las empresas y a la toma de decisiones basadas en el riesgo. “Una gestión estática no sería efectiva porque el mundo en que vivimos está en constante cambio” , según Merri Beth Lavagnino, CRO en la Universidad de Indiana. Esto también se cumple en DocuSign, proveedor de aplicaciones de firma electrónica. “ Mi equipo ha evolucionado para asegurar que estamos mejor equipados para manejar y mitigar todos los aspectos de riesgo en nuestro negocio”, aseguró Tom Pageler, un exagente especial del Servicio Secreto de EE.UU., actualmente CRO en DocuSign.
¿Cuál es su sitio?
Para Nicholas Hayes, analista de Forrester Research, la confluencia de diferentes factores está impulsando la aparición del rol del CRO, aumentando además la influencia de los ya existentes.
Lo que todavía está en proceso en muchas organizaciones es cómo incorporar estos perfiles dentro de las estructuras de seguridad de las empresas. Por ejemplo, en Black Night Financial Services, proveedor de datos y análisis para empresas de servicios financieros, el CIO y el director de seguridad dependen del CRO, Peter Hill, que a su vez responde directamente ante el CEO así como ante un comité de riesgo. “La seguridad de la información comprende una porción significativa del panorama de riesgos de la empresa y es fundamental para tener esta función estrechamente alineado con la dirección general de riesgos estratégica de la empresa”. Esta relación de subordinación sigue proporcionando beneficios sustanciales en la gestión eficaz de los riesgos y la seguridad, y asegura la inversión en seguridad de la información se corresponde con la dirección y el perfil de riesgo estratégico de la organización.
“Mientras que algunos de los riesgos del CISO/CSO pueden elevarse al nivel de la empresa, lo más probable es que el CRO trabaje directamente con el CIO o vicepresidente de TI como un miembro del comité de gestión del riesgo empresarial la mayor parte del tiempo, y sólo con el CISO / CSO cuando se necesita información más detallada acerca de los riesgos y sus mitigaciones”, indicó Lavagnino.
Así la gestión de riesgos se inicia en las altas esferas de estas empresas y la clave será la atención y la colaboración entre los consejos de administración para establecer políticas más estrictas y de la alta dirección para comunicarse y ponerlas en práctica. “Esto no ocurrirá sin un fuerte liderazgo ejecutivo, y mayores recursos para gestionar las vulnerabilidades de red con urgencia y con innovación continua”, comentó King.
IDG.es