De la Ciber-seguridad a la Ciber-resiliencia

Diciembre 5 de 2017

Actualmente vivimos en un entorno de negocios en el que cada vez es más frecuente oír en las noticias sobre ataques de ciberseguridad. Ninguna industria o empresa parece ser invulnerable. Antes se creía que si una empresa se “blindaba” tecnológicamente contra estos ataques no le pasaría nada. Hoy en día, contrario a esa creencia común, se ha observado que a pesar de contar con más y mejores tecnologías el 72% de los ataques de ciberseguridad no logran ser prevenidos.

La tecnología es un factor de protección importante pero las principales brechas de riesgo cibernéticas radican en debilidades relacionadas con la forma como las organizaciones preparan a su capital humano y en la estructuración de sus procesos, tanto a la hora de prevenir y detectar un ataque, como de responder o recuperarse del mismo.

Los expertos en el tema de la Ciberseguridad consideran incluso que blindar absolutamente a una empresa hoy en día no es posible. No se puede pensar en eliminar los ataques, sólo en reducir su impacto y en tener planes de reacción. Por eso cada vez se habla con más fuerza de la Ciber-resiliencia. Mientras que Ciber-seguridad alude a cómo resguardarse de los ataques, la Ciber-resiliencia hace referencia a cómo salir airoso de un ataque.

Las Juntas Directivas y la alta gerencia de las compañías juegan un rol clave en los planes y medidas que se tomen para proteger a una empresa (Ciber-seguridad) y para prepararla en caso de ser atacada (Ciber-resiliencia). Estas altas instancias organizacionales deben discutir en profundidad cuál es el apetito de riesgo de su compañía para plantear según esto el umbral de protección que tendrá información sensible relativa a clientes, empelados, productos y servicios. Sin embargo, más allá de hacer análisis de riesgos y establecer mecanismos de protección, se debe discutir a priori cómo reaccionarán en caso ser atacados. Imaginar estos escenarios con anterioridad permite afrontarlos con mayor éxito.

Dada la gravedad de las consecuencias económicas y reputacionales que un ciberataque tiene para una compañía y la alta responsabilidad que sobre un suceso de este tipo tendría una Junta Directiva, el Instituto Colombiano de Gobierno Corporativo -ICGC- y The Boston Consulting Group -BCG- organizaron un espacio para analizar este tema desde diversas perspectivas en el mercado latinoamericano, aprovechando la gran experiencia del BCG en este tema a nivel mundial y regional.

¿Cómo deben los líderes de las compañías prepararse para los desafíos en esta materia? ¿Cómo deben reaccionar sí ocurre un ataque? Estos y otros temas fueron el centro de la discusión en el evento organizado por BCG e ICGC que tuvo como telón de fondo una simulación de un ciberataque para mostrar a los participantes de manera más explícita lo que experimentaría una empresa que sufra una situación de este tipo. Se buscó que los participantes visualizaran cuál debería ser el rol y las acciones de la alta gerencia y de la Junta Directiva en el momento de reaccionar ante estos ataques para reducir su impacto.

El equipo del BCG a cargo de esta actividad estuvo conformado por:

Stefan Deutscher:lidera el esfuerzo del BCG con el World Economic Forum para apoyar la acción hacia la Ciber Resiliencia de juntas directivas a nivel mundial.
Marcial González:experto del BCG en los temas para América Latina.