Revista trendTIC Edición N°15

SEGURIDAD
SEGURIDAD
Gobiernos Corporativos:
El Upgrade del
Experto Financiero
al Experto en
Cibserseguridad
Por José Lagos
Socio Principal Cybertrust
Dentro de las responsabilidades de los
Directores, se espera que supervisen
y aseguren que la administración de
la empresa fortalezca un proceso de
administración de riesgo que permita
identificar, evaluar, priorizar y definir
técnicas de mitigación, orientadas a
disminuir la exposición al riesgo, ello
asociado a todos los riesgos de la empresa,
incluido el riesgo de Ciberseguridad,
ya sea riesgos asociados a la
denegación de servicios, brechas de
datos, de información de clientes o
robo de información entre otros.
Al parecer y lamentablemente, esta
supervisión no está siendo muy efectiva,
ya que los incidentes de brecha
de datos cada año van aumentado. Según
el sitio web Data Breach Index,
del año 2013 a la fecha, han ocurrido
más de 7.000 incidentes de brechas de
datos o robo de ellos, los cuales alcanzan
a cerca de 5 millones de registros
comprometidos por día y 57 registros
por segundo. Dentro de los casos más
emblemáticos que se conocen, se encuentran
JPMorgan Chase con 83 millones
de registros afectados, Korea
Credit Bureau con 104 millones de registros,
Equifax con 143 millones de
registros, Target y Home Depot con
cerca de 110 millones cada uno.
El costo del robo o brecha de datos
es significativo. Según el Instituto Ponemon,
el costo organizacional directo
promedio de una violación de datos en
los Estados Unidos es de $ 7 millones
y costo promedio por registro robado
equivale a US 141 en promedio, según
el estudio publicado el año 2017.
Diversos estudios tanto del mundo
empresarial como académico han investigado
el impacto en valor bolsa de
estas compañías, el cual dependiendo
del estudio puede variar entre un
3% y 5%, luego de la divulgación de
la brecha, con un desempeño negativo
durante los 3 meses siguientes a la
divulgación.
En la actualidad el grado de preocupación
de las empresas y sobre todo los
accionistas está creciendo aceleradamente,
solo durante el año 2017 han
surgido diversos artículos y columnas
de opinión, publicados en páginas web
del mundo empresarial y del mundo
académico en relación al rol que cumplen
los Directores en el tema de Ciberseguridad,
solo a modo de ejemplo
mencionamos algunos:
• Dónde están los Directores? Preguntas
para Equifax.
• 10 Preguntas que los Directores se
deben hacer en relación a la supervisión
de los ciber riesgos.
• Por qué el Directorio debe reenfocar
los riesgos claves.
• La ciberseguridad debe ser una prioridad
en la agenda de los Directores.
• Tendencias de ciberseguridad para
los Directores.
Estos artículos pueden ser visitados
en el sitio web de Harvard Law School
Forum on Corporate Governance and
Financial Regulation (https://corpgov.
law.harvard.edu).
Muy pocas empresas han tomado acciones
drásticas a nivel de Gobierno Corporativo.
A modo de ejemplo mencio-
namos el caso de Equifax, quien por
medio de un comunicado de prensa en
septiembre del 2017, reveló haber sufrido
una brecha de datos, que expuso
los datos personales de más de 143
millones de usuarios. Por otra parte,
también anunció el despido con efecto
inmediato de su CIO (Chief Information
Officer) y del CISO (Chief Security
Information Officer), semanas después
también fue desvinculado su CEO
(Chief Executive Officer). Posteriormente,
el 26 de octubre de ese mismo
año, anunció la incorporación al Board
de Directores de Scott McGregor, profesional
con amplia experiencia en seguridad
de datos, tecnologías de la Información,
administración de riesgos y
ciberseguridad, aumentando el Board
de 10 a 11 directores (CNBC, 2017).
Dado el costo y la probabilidad creciente
que las empresas sufran un ciberataque
exitoso, es importante preguntar
si los directorios y el management
tienen suficiente conocimiento y están
preparados adecuadamente para prevenir,
monitorear y mitigar los riesgos
de ciberseguridad, o aquellas empre-
sas que ya han sufrido un ataque han
efectuado cambios en su Gobierno
Corporativo. En realidad, las acciones
que toman las empresas luego de un
ataque están lejos de efectuar cambios,
sólo muy pocas compañías han
incorporado directores independientes
a sus directorios luego de una brecha
de datos, o han dado mayor visibilidad
al CISO, acercando su dependencia
al CEO (Chief Executive Officer) o
un comité de primera línea, solo empresas
como Target, Equifax y Ashley
Madison, han incorporado a Directores
Independientes con conocimiento
y experiencia en Ciberseguridad, pero
claramente considerando el nivel actual
y el incremento de brechas de seguridad,
estos son casos aislados.
Desde el punto de vista regulatorio, el
Congreso de Estados Unidos ingresó
un proyecto de ley en marzo del 2017,
actualmente en discusión, para promover
la transparencia en la supervisión
de los riesgos de ciberseguridad
en las empresas que cotizan en bolsa
(Proyecto de Ley 115 S 536is, Cyber-
secuirty Act 2017), en el cual se menciona
lo siguiente:
(1) Divulgar si algún miembro del Directorio
o la junta directiva de la empresa
que informa tiene experiencia
en ciberseguridad y el detalle necesario
para describir completamente la
naturaleza de la experiencia y ;
(2) Si ningún miembro del Directorio
o Junta Directiva de la empresa que
informa tiene experiencia en Ciberseguridad,
será necesario describir qué
otras medidas de Ciberseguridad la
empresa ha tomado en cuenta a través
de los responsables de identificar
y evaluar nominados para cualquier
miembro de la junta, como un comité
de nominaciones.
Probablemente la historia de Enron
se repita, y así como la ley Sarbanes
Oxley incorporó un experto financiero
en el comité de auditoría de las empresas,
ahora además existirán Directores
con habilidades en ciberseguridad que
permitan supervisar de mejor manera
el valor de la empresa y la rentabilidad
esperada por los accionistas.
28 www.trendTIC.cl
Marzo - Abril 2018 Marzo - Abril 2018 29
www.trendTIC.cl