Colombia | Ciberseguridad, otra invitada a las reuniones de junta directiva
Hoy es posible identificar, entre los centros internacionales que ofrecen y promueven estándares de gobierno corporativo, cierto consenso sobre la pertinencia de que, en los arreglos de gobierno, se incluyan medidas que garanticen la existencia y funcionamiento de mecanismos efectivos de identificación y administración de los riesgos a los cuales se exponen las organizaciones en el desarrollo de sus negocios. Ese consenso se extiende a que dichos mecanismos debieran ser liderados por la junta directiva y la alta dirección de la organización.
En 2014, la Organización para la Cooperación y el Desarrollo Económicos (Ocde) publicó el reporte “Gestión de Riesgos y Gobierno Corporativo” y, en él, da cuenta de que, para esa época y en las jurisdicciones evaluadas, los mecanismos de control interno y de auditoría adoptados en los esquemas de gobierno corporativo encontraban en el enfoque “ex post” un lugar común lugar común en las jurisdicciones evaluadas.
En dicho reporte se echó de menos una aproximación “ex ante” a dicha a la gestión de riesgos empresariales, es decir, una en la que, además de aplicar una metodología comprensiva para identificar los riesgos a los que está expuesta la organización y los impactos de dichos riesgos en ella, se pusieran en funcionamiento mecanismos de gestión y mitigación en los cuales, más que capturar la realización pasada de los riesgos y sus efectos, la organización condujera un análisis prospectivo para anticiparlos y definir políticas, procesos y procedimientos para su gestión y mitigación.
Igualmente, el reporte de la Ocde identificó un sesgo hacia los riesgos financieros, dejando en un lugar menos preponderante otros riesgos estratégicos y operacionales de la organización. Todo lo anterior sumado a una aproximación genérica y con un nivel poco minucioso, particularmente en aquellas organizaciones no financieras.
Sin embargo, ha pasado el tiempo y la regulación sobre la gestión de riesgos empresariales ha ganado terreno. Tal y como la misma Ocde lo registra enu el “Corporate Governance Factbook” publicado para 2021, este asunto ha sido uno de los campos regulatorios más dinámicos en los años recientes.Según la Ocde, las disposiciones legales que hacen mandatorio que las organizaciones empresariales asignen un rol efectivo de gestión de riesgos a los comités a nivel de junta directiva han aumentado del 62% de las jurisdicciones analizadas en el reporte en 2015 al 90% a fines de 2020. De hecho, anota la Ocde que la implementación de sistemas de gestión de riesgos ha pasado del 62 % al 96 % en el mismo periodo.
Dejando de lado a las entidades financieras y su experiencia en la implementación de modelos de gestión y control basado en riesgos, lenta pero progresivamente ese modelo de gestión basado en riesgos pareciera coronarse como aquel que un “buen hombre de negocios” debería implementar como parte de aquellos procedimientos técnicos que, al desempeñarse como administrador corporativo, lo protegen ante el escrutinio de su actuar a la hora de imputarle responsabilidad por el incumplimiento de sus obligaciones o la infracción de la ley.
Así, y como lo sostuvo en su momento el Committee of Sponsoring Organizations of the Treadway Commission – COSO-, hoy cada vez más se espera que los directorios asuman un rol de supervisión en relación con la efectiva administración de los riesgos corporativos[1].
A las presiones regulatorias sobre las juntas directivas para que se involucren en la supervisión de la planeación y la ejecución de la estrategia del negocio, en el seguimiento, medición y reporte de los compromisos en materia de asuntos ambientales, sociales y de gobernanza corporativa, en la gestión de los riesgos y efectos del cambio climático sobre la organización, en la gestión del riesgo del lavado de activos, la financiación del terrorismo, la proliferación de armas de destrucción masiva, los vectores de cumplimiento alrededor de controles de exportación y relacionamiento con sujetos y jurisdicciones sancionadas, a la gestión de los riesgos de salud y seguridad en el trabajo, se suma otro que viene ganando terreno regulatorio: la ciberseguridad.
Es ya un lugar común afirmar que la crisis de la COVID trajo consigo una aceleración de la digitalización de los negocios y de las interacciones de los agentes económicos en los procesos y procedimientos adoptados por las organizaciones empresariales para su operación. Esa realidad ha encontrado eco en las preocupaciones de la agenda regulatoria corporativa a nivel internacional, especialmente, en aquellas jurisdicciones que, tradicionalmente, y por su relevancia geopolítica, marcan la tendencia en estos asuntos.
Aunque como suele ocurrir estos movimientos regulatorios comienzan con demandas de revelación de información relevante por parte de los emisores de valores en el marco de las reglas de funcionamiento de los mercados de valores, esas exigencias rápidamente permean otros campos regulatorios. Resuena con un volumen creciente la idea de que la interconexión de las redes de comunicaciones, el empeño intenso en coleccionar datos y de que el uso creciente de herramientas analíticas y de procesos de inteligencia artificial se han acelerado sustancialmente y, con ello, han tomado forma riesgos que amenazan la privacidad, el funcionamiento de la infraestructura social sensible y, por supuesto, la seguridad nacional de los estados.
Esa resonancia se amplifica por el hecho cierto de que existen rentas alrededor de la monetización de incidentes de ciberseguridad, mercados negros de datos e información apropiados indebidamente y, además, que la digitalización sigue avanzando de manera acelerada con el uso de tecnologías criptográficas, mecanismos de procesamiento de pagos novedosos y, muy especialmente, la tercerización de procesos de tecnología y la demanda aun en aumento de servicios de computación en la nube que pone los activos tecnológicos en manos de terceros que luchan por ser confiables.
De esta forma, para los arreglos de gobierno corporativo sobre la gestión de riesgos el foco en la ciberseguridad es inevitable. Esa inevitabilidad ha generado consensos[2] sobre (i) la ciberseguridad es un factor estratégico para la adecuada operación de los negocios; (ii) es necesario que las organizaciones de negocio entiendan la incidencia económica y el impacto operacional de los riesgos en materia de ciberseguridad; (iii) es imperativo alinear la administración del riesgo de ciberseguridad con las necesidades del negocio; (iv) Se debe avanzar hacia diseños institucionales en las organizaciones de negocios para soportar las iniciativa en ciberseguridad; (v) es creciente la necesidad de incorporar en la alta dirección de las compañías conocimiento experto en materia de ciberseguridad; (v) es indispensable para el éxito de la gestión del riesgo se ciberseguridad empoderar la resiliencia de los sistemas y el ánimo colaborativo entre la jerarquía corporativa y los distintos grupos de interés.
Estos consensos, rápidamente, marcarán la técnica que los directores de las organizaciones de negocio deberán incorporar su marco analítico para la toma de decisiones. La regulación camina hacia la construcción de marcos normativos de gobierno de la ciberseguridad que, en el corto plazo, impondrán a las organizaciones de negocio, especialmente aquellas que operan en mercados de infraestructura crítica y aquellas que basan su modelo de negocio en tecnologías informáticas clave, mandatos de gestión explícita y de creación de ambientes y sistemas de identificación, seguimiento control y mitigación de riesgos de ciberseguridad.
Para ello, los sistemas de gobierno corporativo y compliance deberán considerar, desde hoy, incorporar herramientas[3] que permitan:
- Acopiar la mayor cantidad de información posible para establecer prioridades en esta materia, entender el estado del riesgo, identificar vulnerabilidades, identificar los valores que esas vulnerabilidades ofrecen a un eventual atacante y entender quién podría tener interés en atacar la organización y, de hacerlo, cómo llevaría a cabo dicho ataque.
- Priorizar el riesgo para asegurar una gerencia adecuada que debe ir más allá del cumplimiento formal, con una aproximación “ex post”, activa y prospectiva, que se actualice continuamente al ritmo de los progresos tecnológicos de la organización. Para ello, integrar la ciberseguridad a los procesos de administración y gestión es fundamental.
- Avanzar en acciones concretas para la gestión del riesgo de ciberseguridad a través de la promoción de la cultura de la ciberseguridad y la capitalización de experiencias propias y ajenas.
Por lo pronto, los administradores harán bien en:
- Asegurar la existencia de estructuras efectivas de manejo y reporte para facilitar su involucramiento activo en estos asuntos, el cual puede, entre otros, incluir evaluaciones e indicadores clave de producción periódica sobre el estado del riesgo y su mitigación.
- Considerar instruir a los ejecutivos de las organizaciones para que los mantengan adecuada y oportunamente informados sobre incidentes serios y relevantes, así como sobre sus impactos en la organización y su operación. De la misma forma, convendrá que se reciba información sobre las respuestas a dichos eventos y la efectividad de las medidas implementadas.
- Documentar en las actas de las reuniones de la junta directiva el involucramiento de esta última en estos asuntos.
Finalmente, en los diseños de los arreglos de gobierno corporativo, deberemos incluir, dentro de la planificación de las estructuras a adoptar, la asignación de la específica responsabilidad de estos asuntos, asegurando que, al menos, en alguno de los comités de trabajo de la junta directiva están las miras puestas en la ciberseguridad.
El riesgo ha sido invitado asiduo a la sala de juntas. Hoy, la ciberseguridad debe ser igualmente convocada a las reuniones.
[1] Enterprise Risk Management Integrating with Strategy and Performance. 2017
[2] Principles for Board Governance of Cyber Risk. Insight Report. World Economic forum. 2021.
[3] United Kingdom National Cyber Security Center. Cyber Security Toolkit for Boards. 2019.
Para mayor información, puedes contactar a:
Oscar Tutasaura | Socio Posse Herrera Ruiz | oscar.tutasaura@phrlegal.com