Un nuevo informe del Grupo de Trabajo Presidencial sobre la Seguridad Cibernética del Colegio de Abogados Internacional (IBA) y la Unidad de Investigación y Políticas Legales (LPRU) de la IBA, brinda una perspectiva global única en su tipo sobre las prácticas clave de gobierno para que los gerentes y las juntas directivas protejan a sus organizaciones contra ataques cibernéticos. El informe titulado Perspectivas globales sobre la protección contra los riesgos cibernéticos: mejores prácticas de gobierno para altos ejecutivos y juntas directivas, proporciona una visión de las amenazas de seguridad cibernética existentes y describe los pasos prácticos que las empresas pueden tomar para fortalecer su gobierno de riesgos cibernéticos.
El informe se basa en fuentes de diez jurisdicciones (Australia, Brasil, Dinamarca, Alemania, India, Israel, Singapur, Uganda, el Reino Unido y los Estados Unidos) para proporcionar un análisis comparativo con diversos estudios de casos internacionales.
Sternford Moyo, expresidente de la IBA y presidente de Scanlen and Holderness, Zimbabue, quien designó el grupo de trabajo durante su presidencia de 2021-22 y asignó el proyecto como prioridad presidencial, comentó: «Existe una necesidad real de liderazgo y desarrollo de las mejores prácticas cibernéticas internacionales en la intersección de la ley, las políticas públicas y la tecnología. Este informe de la IBA establece un punto de referencia mundial sobre las mejores prácticas de gobierno para las corporaciones en la protección efectiva de sus organizaciones contra los riesgos cibernéticos».
Con el auge de las redes 5G, la computación cuántica y los dispositivos vinculados al Internet de las cosas, la ciberseguridad se está convirtiendo rápidamente en una preocupación principal para la sociedad en general. Según datos del Identity Theft Resource Center, 53,3 millones de estadounidenses se vieron afectados por un compromiso de datos en la primera mitad de 2022. Mientras tanto, la empresa de telecomunicaciones Verizon informó que del total de violaciones cometidas en 2022, el 89 por ciento tuvo una motivación financiera y casi la mitad de todas las infracciones cibernéticas presentaron piratería.
Los organismos reguladores han comenzado a desarrollar pautas y estándares legales en respuesta al aumento de los ataques cibernéticos. Sin embargo, simplemente cumplir con tales regulaciones ya no asegura a las empresas, sino que los líderes de las empresas deben establecer marcos y estrategias de seguridad de manera proactiva.
Luke Dembosky, copresidente del Grupo de Trabajo Presidencial sobre Seguridad Cibernética y socio de Debevoise & Plimpton, EE.UU., comentó: «Es más importante que nunca que los altos ejecutivos y las juntas directivas se comprometan directamente a garantizar que sus organizaciones gestionen los riesgos cibernéticos de manera efectiva». «Los días de dejar esa enorme responsabilidad en manos del equipo de TI o del cumplimiento de la privacidad han quedado atrás, ya que estos son claramente riesgos de toda la empresa para las operaciones, los datos y las marcas. Esperamos que este informe sea una guía útil para la variedad de temas involucrados y los pasos prácticos que los líderes corporativos pueden tomar para llevar a cabo una supervisión cibernética efectiva”.
A través de sus estudios de casos a nivel país, el informe destaca las prácticas de seguridad cibernética que varían ampliamente entre las regiones debido a las diferencias en las capacidades regulatorias. Si bien la gobernanza y la rendición de cuentas a nivel de organización son importantes, sin duda es necesario un liderazgo a gran escala.
Establecer directrices y estándares aparte de la legislación nacional puede salvar las lagunas existentes en el conocimiento. El nuevo informe de la IBA reconoce la responsabilidad compartida entre la alta gerencia y las juntas directivas para abordar los riesgos de ciberseguridad y proporciona 17 recomendaciones para ambas partes, que incluyen:
- comprender el perfil de riesgo cibernético de la organización
- asegurarse de que la junta y la gerencia tengan suficiente experiencia en seguridad cibernética
- garantizar líneas de información adecuadas para que los riesgos cibernéticos se eleven al liderazgo
- invertir fondos suficientes para cumplir los objetivos de ciberseguridad
- revisar, comprender y probar los planes de respuesta a incidentes cibernéticos de la organización.
La alta gerencia juega un papel crucial en las operaciones diarias, posicionándolos bien para mapear los riesgos de ciberseguridad e identificar problemas de alta prioridad. Con el seguimiento del conocimiento interno, el apoyo y la experiencia externa y la colaboración interfuncional, están mejor posicionados para seleccionar la política ideal para su organización. También son responsables de garantizar el cumplimiento interno y, como informantes principales de la junta, también pueden sugerir análisis/evaluaciones y actualizaciones oportunas.
Søren Skibsted, copresidente del Grupo de Trabajo Presidencial sobre Seguridad Cibernética y socio de Kromann Reumert, Dinamarca, comentó: «El número, la magnitud, la sofisticación, la frecuencia y el impacto de los incidentes cibernéticos están aumentando. Hoy representan uno de los mayores desafíos para el buen funcionamiento de las organizaciones y la adopción exitosa de la transformación digital. Ahora más que nunca, los altos ejecutivos y las juntas directivas necesitan comprender mejor la esencia estratégica de la resiliencia cibernética, y esperamos que esta guía sirva como catalizador para que los altos ejecutivos y las juntas directivas acepten la responsabilidad y permitan acciones impactantes con respecto a: mejorar las capacidades cibernéticas generales y la resiliencia de sus organizaciones».
Tener una junta atenta y bien asesorada con una comprensión profunda de los riesgos financieros y legales asociados con las malas prácticas de seguridad cibernética es fundamental para las organizaciones de hoy en día, con juntas de supervisión que permiten un enfoque de arriba hacia abajo para la priorización de la seguridad cibernética. En Australia, Alemania, el Reino Unido y los EE. UU., la legislación promulgada recientemente hace que las juntas sean directamente responsables de la supervisión de la seguridad cibernética.
El nuevo informe amplía las Directrices de ciberseguridad de la IBA (2018).
