La Ciberseguridad se cuela en el Consejo de Administración

En el ámbito de la comunicación con inversores y analistas, las compañías que estén dispuestas a compartir cuáles son los riesgos en materia de ciberseguridad deben reflejar cómo se están enfrentando a ellos.

La digitalización es un arma de doble filo

La digitalización de las compañías ha pasado de ser un fenómeno de creciente importancia a consolidarse como una macrotendencia, omnipresente en todos los aspectos fundamentales del día a día. A pesar de los beneficios y ventajas derivados de incorporar sus elementos de eficiencia, el riesgo de ciberataques aumenta con el grado de dependencia digital

Conviene recordar las filtraciones de datos sufridas por Sony Pictures en 2014, en la que los hackers perpetradores publicaron información personal de sus empleados y familiares, así como películas inéditas y guiones de futuros proyectos, o los ataques ransomware como el infame I Wanna Cry que infectó a cerca de 70,000 dispositivos, paralizando el Servicio Nacional de Salud británico y forzando a compañías como Nissan y Renault a detener su producción. Estos casos demostraron que el peso de la responsabilidad en materia de ciberseguridad no debe recaer únicamente en el Chief Information Security Officer y/o el departamento de IT, sino que debe formar parte de la política de gestión de riesgos de la compañía. La nueva realidad empresarial, provocada por la actual crisis sanitaria, ha atomizado aún más estas amenazas.    

Mantener bien informado al Consejo de Administración forma parte de las responsabilidades del CEO 

Es de máxima importancia que los miembros del Consejo de Administración comprendan los riesgos que conlleva operar desde una posición vulnerable. El Consejo, como órgano de gobierno, tiene una responsabilidad fiduciaria, y como tal, debe estar bien informado de las políticas de gestión de riesgos de la compañía. En el ámbito de la digitalización, esto supone estar al corriente de las políticas de ciberseguridad.

Ayudarles a asimilar la necesidad de invertir en ciberseguridad es una de las misiones a las que puede contribuir la función de Relaciones con Inversores, porque será una creciente demanda y preocupación del mercado, tal y como está ocurriendo con el ámbito de las políticas en materia de ESG. Esta nueva dimensión de riesgo requerirá un proceso de adaptación a nivel de cultura corporativa, procesos y comunicación.

En el ámbito de la comunicación con inversores y analistas, las compañías que estén dispuestas a compartir cuáles son los riesgos deben reflejar cómo se están enfrentando a ellos. En este sentido, cobra especial importancia el Equity Story como herramienta nuclear de comunicación, ya que además de ser una oportunidad para presentar los selling points de la compañía, ofrece la ocasión de explicar la estrategia en materia de gestión de riesgos en general, y en el caso que nos ocupa de la competencia de ciberseguridad en particular. ¿Qué pasos se están tomando para proteger la información estratégica operativa?, ¿qué medidas se aplican para asegurar el funcionamiento de los procesos digitales, tanto internos como externos? Estas son algunas de las preguntas que los inversores pueden empezar a formularnos en las reuniones one on one

Como señala Chris Dimitriadis en su artículo 3 Ways to speak the board's language around cyber risk, en el debate en el seno del Consejo de Administración será importante comparar la  práctica en ciberseguridad de la compañía respecto a su competencia para identificar los gaps relativos, y sobre todo, establecer las acciones para cubrirlos.

Un ejercicio de credibilidad 

Al igual que las compañías que operan en países con importantes riesgos de insolvencia o de moneda deben incorporan estos aspectos a su política de gestión de riesgos, para las compañías digitalizadas, adoptar una postura de transparencia en materia de ciberseguridad supondrá un ejercicio de credibilidad.

-

Francisco Blanco Bermúdez / Juan José Ros