El cambio de milenio con el paso del siglo XX al XXI ha significado la transición desde la era industrial a la era de la información y de los mercados nacionales y regionales a la globalización, entendida como “mundialización”, de los mercados. Estas transformaciones traen consigo nuevos y profundos retos para los miembros de los consejos corporativos y ejecutivos de nivel C de cualquier sector económico.
Durante las dos últimas décadas, una serie de diversos e intensos shocks –algunos económicos, otros políticos, otros medioambientales, otros tecnológicos y aún otros relacionados con la naturaleza del delito o con la seguridad de la energía- han obligado a los líderes empresariales a adoptar un nuevo enfoque sobre la forma de gobernar sus negocios.
Seguridad corporativa: Más allá del CIO
Ya no basta con que los miembros de los consejos corporativos garanticen la rentabilidad de la empresa, sino que más allá de ella, deben asegurar su capacidad de sobrevivir en el nuevo entorno. Con el siglo XXI, las fuerzas gemelas de la economía global y el ciberespacio han llegado para dominar nuestras vidas y cambiar la matriz del riesgo de los negocios; esta matriz, por ejemplo, se ha ampliado y profundizado, haciendo la supervivencia de las corporaciones vulnerable a amenazas de una nueva naturaleza, que trascienden la pura rentabilidad.
El mundo en general, y su comercio y comunicaciones en particular, se encuentran hoy integrados y se manifiestan interdependientes en formas sin precedentes. Unas integraciones e interdependencias que traen consigo al mismo tiempo seductoras oportunidades y peligrosos nuevos retos.
Los últimos titulares del 2008 estuvieron dominados por noticias como la crisis de la economía mundial, los ataques terroristas en Bombay, o el éxito de los piratas somalíes en hacerse, en cuestión de quince minutos, con el control de un buque petrolero saudita valorado en $100,000 millones de dólares. Todas ellas íntimamente relacionadas con la globalización.
Pero esta cadena de extraordinarias circunstancias no constituye una anomalía cuya explicación haya de dejarse en manos de los astrólogos. No, no se trata de una rara coincidencia, sino simplemente de la aceleración de una tendencia de la que llevamos siendo testigos desde hace dos décadas.
Consideremos varios ejemplos de las muchas catástrofes –algunas naturales, otras no- en que se ha manifestado esta tendencia y algunas de las cuales han sufrido en carne propia determinadas empresas: la crisis financiera asiática de los 90; la ola terrorista iniciada con los ataques del 11-S en Nueva York; los escándalos de las grandes multinacionales Enron, Arthur Andersen y World Com; el auge del cibercrímen organizado en Rusia y Asia; el huracán Katrina; el terremoto y el tsunami que asolaron el Océano Índico en 2004; los escándalos de espionaje corporativo (p.e. el caso de Haephrati o el de Hewlett-Packard), etc.
Algunos de estos acontecimientos han implicado actividades y sucesos sobre los que los consejos directivos tienen al menos cierta influencia, como aquellos derivados de errores de juicio o deslices éticos en la parte de los empleados o agentes de mayor o menor nivel. Otros, claramente, como los ataques terroristas o los desastres naturales, son el resultado de fuerzas y circunstancias que escapan al control de los consejos corporativos.
Pero incluso en estos últimos casos es responsabilidad de estos consejos el comprender lo que debe hacerse para evitar lo evitable, y preparar a la empresa para lo que pueda prepararse, así como supervisar la implementación de tales medidas preventivas o reactivas. Cualquiera de los acontecimientos citados justifica por sí mismo la necesidad de que los consejos directivos examinen y modifiquen su aproximación al gobierno- control de riesgos, seguridad y privacidad. Y, en conjunto, constituyen un llamamiento a las armas para conseguir una reorganización más completa, detallada y global de la forma en que los responsables empresariales llevan a cabo su supervisión de riesgos, seguridad y privacidad.
Los secretos del buen gobierno
Fue la contemplación de lo que Shakespeare denomina “Los mil y un shocks naturales” lo que llevó a su personaje Hamlet a plantearse a sí mismo la pregunta existencial “¿Ser o no ser?”. De igual manera, “Los mil y un shocks naturales” de los que forman parte los acontecimientos antes mencionados y que se encierran en las más oscuras profundidades de la matriz de riesgos propia del siglo XXI pueden muy bien obligar a los desesperados miembros de los consejos corporativos a plantearse la pregunta: “¿Gobernar o no gobernar? La respuesta es, por supuesto, en el primer caso, “ser”, y, en el segundo “gobernar”.
Pero ello nos lleva a otra pregunta urgente e importante: “¿Cómo gobernar de la mejor manera posible?”; es decir, de la manera más sabia, eficiente y proactiva. Para llegar a algunas respuestas valiosas a esta cuestión de vital importancia, he colaborado con el internacionalmente reconocido especialista en gobernabilidad y riesgos Jody Westby, CEO de Global Cyber Risk y miembro distinguido de Carnegie Mellon University CyLab, en la creación de CyLab Governance of Enterprise Security Survey.
Se trata de un estudio sobre gobierno de la seguridad empresarial que pretende descubrir la forma en que las corporaciones están realmente buscando la respuesta a la pregunta sobre la mejor forma de gobernar su seguridad en el sentido amplio. En él se sugieren además algunas formas de mejorarla, al menos en lo que se refiere al ciber-riesgo (quizá la más peligrosa, penetrante, esquiva y subestimada de todas las amenazas que hoy se ciernen sobre la seguridad de las empresas).
Basándose en los datos facilitados por 703 individuos –principalmente directores independientes- que trabajan para consejos corporativos de compañías estadounidenses que cotizan en bolsa, esta investigación concluye que sólo el 37% de las entidades tomadas como muestra considera “la supervisión de crisis y riesgos” como “de importancia crítica”. El grado en que los miembros de los consejos corporativos se mantienen al margen de las actividades que constituirían una supervisión importante de tal dimensión resulta también asombroso. Basta tener en cuenta, a modo de ejemplo, las siguientes conclusiones de este estudio:
• Los Consejos sólo se implican en las revisiones de conformidad con cuestiones de privacidad el 19% del tiempo; en las valoraciones de riesgo relacionado con las TI o datos personales, el 31% del tiempo; y en los planes de notificación de brechas de seguridad, sólo el 21% del tiempo.
• El 56% de los entrevistados dijo que sólo rara u ocasionalmente revisaban y aprobaban las políticas de alto nivel relativas a los riesgos de seguridad y privacidad. Un 23% adicional reconoció no haberlo hecho nunca.
• El 62% de los participantes en el sondeo aseguró que sólo ocasional o raramente habían recibido informes de la dirección de nivel senior sobre los riesgos de seguridad y privacidad. Otro 15% dijo no haberlos recibido nunca.
Es imposible que un consejo de directores ejercite su supervisión sobre la seguridad de la información eficazmente si no revisa y aprueba al menos las políticas, roles y responsabilidades de alto nivel, así como los presupuestos anuales relacionados con la seguridad de la información en sus organizaciones.
Ausencia de roles de alto nivel
Tampoco resultan más tranquilizadores los datos sobre el nivel C de las organizaciones sondeadas. Los resultados del estudio revelan una preocupante carencia de roles de altos ejecutivos (nivel C) dedicados a la mitigación de los riesgos para la seguridad y la privacidad dentro de las empresas. En este sentido, cabe señalar los siguientes datos:
• Sólo el 30.21% tiene Chief Information Security Officers (CISO) o responsables de alto nivel para la seguridad de la información.
• Sólo el 27.38% cuenta con Chief Risk Officers (CRO), directores de nivel C específicos para la gestión de riesgos.
• Sólo el 16.10% dispone de Chief Security Officers (CSO), responsables de alto nivel para la seguridad, en sentido global y corporativa.
• Sólo el 7.38% incluye en su organigrama el puesto de Chief Privacy Officers (CPO), o directores de nivel C para la privacidad.
Westby, autor principal de este estudio, extrae de estos y otros resultados varias conclusiones importantes. En primer lugar, “los consejos directivos –especialmente aquellos de compañías de infraestructura crítica- necesitan mejorar su comprensión de los riesgos asociados a las TI, especialmente, los relativos a la seguridad y la privacidad”. Además, este experto advierte que se da poco valor a la responsabilidad corporativa como una cuestión de gobierno, una cuestión que debería incluir el esfuerzo de las empresas por ser `buenos ciberciudadanos´.
Por otra parte, Westby llama la atención sobre el elevado número de organizaciones que carecen de ejecutivos en puestos clave para la privacidad y la seguridad, y la escasa cantidad de ellas que introduce una separación funcional entre las responsabilidades de seguridad y privacidad. Son, además, demasiadas las que carecen de equipos de alcance corporativo, cuyas competencias crucen las fronteras departamentales. Circunstancias todas ellas que, según Westby, constituyen errores importantes para una gobernabilidad eficiente.
Westby subraya asimismo la existencia de grandes huecos en los programas de seguridad empresarial y de áreas de los mismos que no se encuentran en línea con los estándares y mejores prácticas al respecto internacionalmente aceptados, lo que deja a las empresas en una situación de indefensión, tanto legal como técnica.
Los resultados del sondeo de CyLab ofrecen un interesante contrapunto a los de otra investigación que desarrollé con colegas del FBI Computer Crime Squad en 1995. Se trata de CSI/FBI Computer Crime and Security Survey, cuyo objetivo era aumentar la conciencia sobre la naturaleza y el alcance del cibercrimen y la necesidad de informar a las fuerzas de seguridad de los incidentes que pudieran afectar a las corporaciones. CSI/FBI Survey también disipó algunas nociones falsas sobre el ciber-riesgo y la seguridad, y aportó la primera prueba de las tendencias que empezaban a dominar el lado oscuro del ciberespacio.
Mostró que la amenaza externa estaba aumentando rápidamente, y que era una peligrosa ingenuidad seguir considerándola como un problema mucho menos serio que la amenaza interna. Puso de manifiesto también que el cibercrímen había dejado de ser un acontecimiento ocasional, que ya no se limitaba al hacking juvenil o a los ataques de virus, y que algunas organizaciones estaban sufriendo serias pérdidas financieras a consecuencia de él. Todas estas conclusiones, consideradas entonces por muchos como heréticas, han demostrado ser ciertas con el tiempo transcurrido desde entonces.
Bien, pues probablemente CyLab Governance of Enterprise Security Survey sea hoy tan importante como entonces lo fue CSI/FBI. En aquel momento, el reto más urgente era superar la negación del hecho y conseguir el reconocimiento de los riesgos que empezaban a perfilarse entre las sombras digitales. Hoy, lo más importante es reconocer y, después, asumir en consecuencia nuestra responsabilidad en la mitigación de tales peligros. Y el auténtico proceso de mitigación puede empezar por el portal de Internet o dentro del kernel del sistema operativo, pero siempre en la sala de juntas del consejo directivo.
Los líderes de negocio que acepten con seriedad su responsabilidad y se esfuercen por mitigar el ciber-riesgo, no escatimarán recursos para llenar los peligrosos huecos de gobernabilidad existentes en sus programas para así conseguir garantizar en el actual contexto la privacidad y la seguridad de sus negocios.
Cinco recomendaciones básicas
El informe de CyLab incluye una serie de diez recomendaciones dirigidas a las organizaciones del nuevo siglo. De ellas, las cinco principales son las siguientes:
1) Establecer un Comité de Riesgo ejecutivo. Este comité debe ser diferente del Comité de Auditoría dentro de la empresa y ha de asignársele responsabilidad real sobre los riesgos empresariales, incluidos los riesgos de TI.
2) Separar los roles de seguridad y privacidad dentro de la organización y garantizar que las responsabilidades de cada uno de ellos están adecuadamente asignadas.
3) Evaluar la estructura organizacional existente y establecer un equipo interdepartamental, de alcance corporativo. Éste deberá reunirse al menos una vez al mes para coordinar y comunicar la situación y evolución de los asuntos relacionados con la privacidad y la seguridad. Sus miembros deberían incluir a los directivos senior de las áreas de recursos humanos, relaciones públicas, y legales, así como a los máximos responsables financieros (CFO), de información (CIO), CISO/CSO (o CRO), CPO y ejecutivos de las líneas de negocio.
4) Desarrollar políticas de más alto nivel o revisar las actuales si ya existieran para crear una cultura de seguridad y respeto a la privacidad de la información.
5) Revisar el programa de seguridad corporativo y asegurar su cumplimiento y eficacia.