Estratégicamente alineados, organizacionalmente distintos: es momento de fusionar la ciberseguridad y la privacidad de la información como una única función de riesgo digital
Empresas de todas las formas y tamaños están intentando hacerse de una ventaja competitiva aprovechando la información digital. Las empresas más innovadoras usan información de preferencia de consumidores para crear servicios personalizados y campañas especializadas de marketing, examinan la información de desempeño de los empleados para impulsar la productividad, y analizan la información de cadena de suministro para impulsar eficiencias. Y esa es sólo la punta del iceberg.
Esto ofrece un potencial enorme, pero también crea vulnerabilidades e interdependencias entre amenazas previamente discretas. Este es el caso particularmente para los riesgos de ciberseguridad y privacidad de la información, los cuales están relacionados debido al uso creciente de información personal. Por ejemplo, las filtraciones de información pueden resultar de un ciberataque, pero repercuten sobre la privacidad de la información.
Pero los intentos de los líderes de negocio de aceptar la naturaleza cambiante de estas amenazas se complican porque los últimos tres años vieron a empresas alrededor del mundo hundidas en compliance de privacidad de la información. Todavía acostumbrándose al Reglamento General de Protección de Datos (GDPR) en Europa, se enfrentan a nuevas regulaciones en Australia, en California, en Canadá. No existe descanso.
No es sorpresa que dos tercios de las empresas encuestadas para el último International Business Report (IBR) de Grant Thornton se estén enfocando más en privacidad que en ciberseguridad. Y la mayoría (59%) están preparándose en forma activa para la nueva ola de regulaciones de privacidad.
Pero las amenazas de ciberseguridad también se han disparado. El número de ciberataques causando pérdidas de más de $1M ha incrementado un 63% en los últimos tres años. [1]
Entonces, es crucial el poder manejar ambos riesgos: privacidad de la información y ciberseguridad. Sin embargo, les está costando, porque la privacidad y la ciberseguridad suelen ser manejadas por distintos equipos. El CPO se encarga de la primera; el CISO o CTO de la segunda.
Sería mucho mejor que ambas fueran administradas por el mismo equipo. Después de todo, mucho del trabajo que asegura el compliance de la privacidad de la información puede utilizarse para dar apoyo a la ciberseguridad, y viceversa. Además de ayudar a las empresas a manejar los riesgos digitales, este enfoque agrega valor permitiéndoles empezar iniciativas de transformación digital más rápidamente.
Un único equipo de riesgo digital también se asegurará de que la clasificación de datos que las empresas están realizando en toda la organización para distintos propósitos este alineada y coordinada.
Por ejemplo, no es difícil ver cómo las empresas podrían usar la clasificación de la información conducida para apoyar al cumplimiento con regulaciones de privacidad como el GDPR para mejorar la ciberseguridad. Por ejemplo, podrían categorizar la información según su valor para el negocio. E identificar los datos más valiosos significa que puede protegerse mejor con defensas cibernéticas más sofisticadas.
“La mayoría de las empresas nunca habían clasificado la información hasta el GDPR,” explica Hans Bootma, socio de servicios de riesgo cibernético en Grant Thornton Holanda. “Pero empezaron porque tuvieron que categorizar información identificable personalmente y otros tipos de información para poder cumplir. Si conduce un programa como este entonces es fácil extenderlo y combinarlo con otros tipos de información para identificar las joyas de la corona de su información y luego relacionarlo con su programa cibernético.”
A menos que la privacidad y la ciberseguridad se alineen, el proceso de clasificación ocurrirá en silos aislados y los beneficios no se compartirán.
Abordar la privacidad de la información y la ciberseguridad dentro de una misma función de riesgo digital es imperativo también porque las dos están cada vez más interconectadas.
Esto es más duro que nunca inmediatamente después de una filtración de información. Las empresas necesitan saber cómo ocurrió la filtración y qué defensas (si las tenían) fallaron. También necesitan entender que información está comprometida y si era personal o sensible. Si lo es, deberá ser revelado.
Hoy en día, la mayoría de las empresas no están completamente equipadas para esto. Sólo un 28% de las empresas encuestadas están “altamente satisfechas” con su habilidad para proteger contra el riesgo de una filtración seria, y sólo un 26% con su habilidad para responder en forma consistente a una filtración mayor en toda la empresa, sin importar cuando o donde suceda.
Integre la privacidad y la seguridad en una sola función, y las empresas podrán responder más eficientemente a las filtraciones de información debido a sus recursos combinados y un entendimiento más integral de la amenaza.
“La privacidad y la ciberseguridad son complejas porque chocan en el mundo real,” dice Harris. “Una filtración de información podría comenzar como algo muy técnico en un proveedor tercerizado de servicios en la nube. Pero para responder al incidente necesita considerar si hay información personal involucrada y qué revelaciones regulatorias hay que hacer.
“De repente, las dos se han vuelto interconectadas. En vez de dos funciones separadas respondiendo a una filtración, tiene sentido tener una con las habilidades especializadas para manejar el proceso para que nada pase desapercibido.”
La interconectividad de la ciberseguridad y la privacidad tiene implicaciones para el manejo de garantías de terceros.
Por ejemplo, las regulaciones de privacidad como el GDPR le piden a las empresas garantías robustas de proveedores que manejan información en su nombre. Y como las empresas también tienen que verificar si sus proveedores son vulnerables a los ciberataques, ¿Por qué no evaluar el compliance de la privacidad y la resiliencia de la ciberseguridad en un solo proceso?
“Tendría mucho sentido que las empresas fusionen los aspectos de ciberseguridad de las garantías de terceros con los controles de privacidad,” dice Mike Harris, socio de servicios de ciberseguridad de Grant Thornton Irlanda. “Es cuestión de preguntarse sobre las dos al mismo tiempo. Es relativamente simple, pero no estaría sucediendo en este momento. Los equipos de ciberseguridad y privacidad están haciendo esto por separado.”
Por supuesto, esta garantía tercerizada eliminará la duplicación del esfuerzo y creará eficiencias. Más importante aún, sin embargo, es que producirá un entendimiento más integral del riesgo digital.
Este enfoque también agrega valor. Una única función que conduce evaluaciones comprensivas del riesgo digital de terceros está mejor posicionada para asegurar que ese riesgo es considerado en toda la organización. Una forma de hacerlo es preaprobando proveedores desde una perspectiva de riesgo.
“Las empresas pueden transformarse más rápido digitalmente si hacen el proceso de aprobación de proveedores desde el principio,” dice James Arthur, socio y líder de ciber consultoría de Grant Thornton Reino Unido. “Es mucho más fácil hacer esto si tiene una única función de riesgo digital que evalúa en forma proactiva el riesgo de ciberseguridad y de privacidad juntos.”
Dejando de lado la selección de proveedores, una función de riesgo digital integrada está mejor ubicada para examinar los peligros de ciertas tecnologías. “Muchas empresas están empezando a experimentar con tecnología blockchain,” dice Michel Besner, director general de Catallaxy, una subsidiaria de blockchain de Raymond Chabot Grant Thornton (Canadá).
“Es vital que los equipos de riesgo estén involucrados desde el comienzo, porque con cualquier base de datos de tecnología siempre está el riesgo de ataques de parte de terceros que quieren robarse la información. Para combatir esto, los equipos de riesgo pueden asegurar que haya estructuras apropiadas de gobernancia sobre cómo se implementa, administra y apoya el blockchain. Haga esto bien, y evitará problemas de seguridad más adelante.”
El caso para una función integrada de riesgo digital es clave. ¿Pero quién debería dirigirla?
En este momento, existe confusión sobre dónde yace la responsabilidad, y esto está dificultando la administración del riesgo digital. Reveladoramente, las empresas encuestadas dicen que una falta de entendimiento acerca de qué riesgos son responsables los individuos y los equipos es su segundo punto débil en el manejo del riesgo digital.
Como el riesgo financiero, la severidad del riesgo digital significa que la junta debe asumir un rol activo en su supervisión. Idealmente, se debería establecer un comité de riesgo dentro de la junta para supervisar este riesgo, con representación de expertos.
“La supervisión del riesgo digital debería estar en el nivel de la Junta,” explica Christos Makedonas, líder de riesgo tecnológico en Grant Thornton Chipre. “Debería haber también un comité que discuta sobre riesgo digital y tome decisiones sobre cómo se maneja.”
“El riesgo digital es multifacético, así que mucha gente debe alimentar este proceso. En este momento, esto sólo sucede en empresas grandes, altamente reguladas – especialmente aquellas en servicios financieros.”
La mayoría de las empresas ponen al director ejecutivo de riesgo o tecnología a cargo a la administración diaria de estos riegos. Pero, como se explicó en nuestro artículo “Riesgo digital: la tecnología no es una fórmula mágica”, la administración efectiva del riesgo digital se basa en mucho más que sólo tecnología. Los directores de riesgo normalmente se enfocan en los riesgos financieros, y por lo tanto pueden no poseer el expertise necesario para manejar el riesgo digital efectivamente.
Sale a escena el director ejecutivo de riesgo digital. “Las organizaciones están empezando a crear funciones de riesgo digital encabezadas por un director ejecutivo de riesgo digital,” confirma James Arthur. “Aquí es donde la responsabilidad del riesgo digital debería estar. Pero por ahora todavía son organizacionalmente distintos en la mayoría de las empresas.”
[1] Global cyber-incidents soar by 63% in the last three years, Linklaters, January 2019