Asumir que la ciber seguridad es un tema clave para la Gestión de riesgos y para Sistemas, es válido. Sin embargo, supera estos límites. De la mano de expertos en la materia, se ha evangelizado a comités ejecutivos para abordar el tema, recordando que la naturaleza del riesgo es multifacética. El resultado es que muchas veces ha dejado a las juntas sin saber por dónde empezar. Esta confusión es comprensible. La forma más fácil de ir del punto A al punto B suele ser en línea recta. Pero desarrollar la ciberresiliencia no es un proceso lineal.

Hemos tenido suficiente tiempo para aprender que estos meses de pandemia han producido un sinnúmero de desbalances que sumaron complejidad e intermitencias a las operaciones en distintas industrias. Pero aún más profunda es la mella que esta situación detonó en las personas. Empleados obligados a trabajar remoto, colegas reubicados y, en general, una fuerza laboral estresada incrementó exponencialmente las vulnerabilidades cibernéticas. En el home office los empleados están más propensos a manejar la información de forma no segura y es exactamente para esta instancia que los ataques cibernéticos están pensados. Lamentablemente la COVID-19 abre demasiadas ventanas a los criminales.

Son varios los desafíos que la pandemia aceleró, sin embargo, equipos de RRHH tienen la chance de sumarse al liderazgo para ofrecer un enfoque diferente e integral.

Pero ¿por dónde empezar a abordar el problema? El caso amerita desmitificar un poco algunos supuestos como los siguientes:

Las soluciones tecnológicas lo son todo.Si bien la tecnología es parte de una gestión eficaz del riesgo cibernético, las inversiones en tecnología por sí solas no solucionarán el problema. Si una empresa centra sus esfuerzos aquí, puede pasar por alto el impacto del comportamiento humano, malintencionado o de otro tipo.

De las empresas que experimentaron violaciones de datos en 2016, las personas con acceso a los sistemas y la información de la organización fueron responsables del 43% de la pérdida de datos.

Por curiosidad o descuido de los empleados, estos puntos ciegos suelen ser los más dañinos. La sugerencia es que todo acceso a los activos críticos de la empresa debe regirse por procesos estrictos basados en el acceso privilegiado. También priorizar programas de concienciación y capacitación de los empleados es un paso importante para enfrentar las vulnerabilidades comunes relacionadas con las personas.

El cumplimiento normativo (compliance) iguala a la seguridad. El cumplimiento proporciona un punto de partida en un momento determinado, mientras que la seguridad efectiva es un proceso de mejora continua.Si bien los reguladores diseñan normas teniendo en cuenta la seguridad, los requisitos de cumplimiento deben considerarse como una base para respaldar la debida diligencia en seguridad cibernética. El cumplimiento también es una oportunidad para trabajar en toda la organización para definir la tolerancia de la organización hacia el riesgo.

Solo las industrias que poseen datos sensibles están bajo amenaza directa. Las empresas que tienen datos confidenciales, incluida información de identificación personal, datos de atención médica, datos de tarjetas de crédito e información médica personal, son objetivos obvios de los ataques cibernéticos. Por ello, industrias como los servicios financieros o servicios médicos, tradicionalmente están más reguladas. Sin embargo, existela convergencia de los mundos físico y digital (figital) que significa que las empresas enfrentan riesgos más allá de la violación de datos. Muchas industrias deben proteger los secretos comerciales, la propiedad intelectual y los datos confidenciales.

Aparte del gran crecimiento de la tecnología y el aumento de los puntos de entrada, los atacantes también cambiaron su enfoque. Cada vez más, como han demostrado los recientes ataques de ransomware, los delincuentes están explotando las vulnerabilidades con el objetivo específico tanto para interrumpir las operaciones como obtener ganancias financieras.

Las empresas tercerizan funciones con su responsabilidad y riesgo. Organizaciones de diferentes tamaños subcontratan procesos. Cuando lo hacen, suelen tener la percepción errada de que la responsabilidad del cumplimiento también se terceriza. La cibernética evoluciona rápido por lo que identificar dónde se encuentra el riesgo puede ser un objetivo en movimiento.

El último de los mitos, pero de alguna forma el primero es La tecnología solo es parte de la solución. El departamento IT trabaja a tiempo completo para implementar, actualizar y mantener la tecnología de la empresa. Sin embargo, a menudo se espera que el mismo departamento también gestione los riesgos asociados con esa tecnología.

Tener una visión integral de cómo el riesgo cibernético afecta el negocio a través de varias funciones es responsabilidad de toda la organización. Desde ya de la dirección, para empezar. De esta manera, la seguridad no solo está alineada con IT, sino que también está ligada al negocio y al equipo de liderazgo.Definir esta agenda ayuda a generar aceptación para evaluar la exposición de la empresa al riesgo cibernético.

Siendo realistas, las políticas y los procedimientos no son a prueba de fallas. Las evaluaciones a menudo revelan que muchos empleados no las siguen. No son por lo tanto suficientes.

Desde IT, hasta Legal, Compliance, Recursos Humanos, Innovación y otros departamentos, son fundamentales para crear un equipo multidisciplinario que pueda evaluar, gestionar y responder a los riesgos dentro de organización. Las empresas deben adoptar un marco integral y continuo que reconozca la naturaleza cíclica del riesgo.

Un abordaje integrador ayuda a romper silos organizacionales y a tomar mejores decisiones para combatir esta realidad. Si este riesgo no es estático, la construcción de la resiliencia cibernética tampoco puede serlo. Es en este sentido, que el equipo de Recursos Humanos tiene un rol clave en la mitigación del riesgo.

* CEO de AON