Ciberseguridad: la expertise que falta en los directorios

La filtración de datos de miles de tarjetas de crédito, el robo de US$ 10 millones al Banco de Chile y los sucesivos ataques de ransomware -en que hackers “secuestran” sitios web y exigen un pago para liberarlos- han encendido las alertas en todo el país y hasta La Moneda está elaborando proyectos de ley para elevar los estándares de ciberseguridad en el país.

Pero la preocupación trasciende fronteras. El año pasado, los datos financieros de 143 millones de estadounidenses fueron filtrados tras un ataque a Equifax; empresas desde Sony Studios hasta JPMorgan o Home Depot reportaron incidentes y, en el Reino Unido, el malware WannaCry tuvo al Servicio Nacional de Salud (NHS) paralizado por días.

Todos estos casos fueron parte de un estudio de la Escuela de Negocios de la Universidad de Stanford. En noviembre, los académicos David F. Larcker, Peter C. Reiss y Brian Tayan publicaron un paper que analiza las respuestas de las empresas a brechas de ciberseguridad. La conclusión fue lapidaria: “No están haciendo lo suficiente para proteger los datos de los clientes”, señalaron.

Según datos de Ponemon Institute, que hace investigación independiente en temas de protección de datos, las acciones caen en promedio 5% tras informarse un ciberataque. Aquellas con mayor preparación técnica para enfrentarlo logran recuperar su valor en un promedio de siete días; en cambio, las menos preparadas tardan más de 90 días.

Al directorio

La investigación de Stanford detalla que, tras un ciberataque, muchas firmas anuncian mejoras, “pero muy poco ocurre en términos de responsabilizar a individuos o hacer cambios estructurales a nivel del directorio”. Los investigadores critican que “la expertise cibernética no es una habilidad central o un requerimiento para la mayoría de los miembros” de la junta.

Ante ello, el profesor del diplomado de Ciberseguridad de la Facultad de Economía y Negocios de la Universidad de Chile, José Lagos, señala que “el directorio necesita a alguien con conocimiento de estos riesgos. Hay empresas que están incorporando a directores independientes y el jefe de seguridad informática (CISO, por su sigla en inglés) está adoptando mayor nivel gerencial”.

Por su parte, el ingeniero John Castro, mentor de la incubadora de negocios 3ie, de la Universidad Federico Santa María, señala que las firmas del sector financiero “son las primeras en que el directorio no sólo debe gestionar los riesgos y entenderlos a través de personas calificadas, sino que el impacto en su carrera debe estar ligado al desempeño de estas variables”.

Agrega: “Mirando a EEUU, nos queda un largo camino por recorrer para contar con directorios que puedan manejar estos temas tan bien como manejan ventas, finanzas, impuestos”.

Recomendaciones

La investigación de Stanford recomienda no sólo elevar los temas ciberseguridad a la junta directiva, sino también desarrollar un plan de respuesta a las brechas e implementar salvaguardas adicionales para proteger datos sensibles.

Pero la gran preocupación sigue siendo la falta de conocimiento técnico en la plana mayor de las compañías. El documento concluye con una pregunta abierta: “¿Cuán difícil es encontrar candidatos a director con estas habilidades?”.