Las empresas más innovadoras aprovechan la información sobre preferencias de los clientes por diversas razones, entre ellas la creación de servicios personalizados y campañas de marketing dirigidas, el análisis de los datos de desempeño de los empleados para impulsar la productividad y la consideración de la información de la cadena de suministro para impulsar la eficiencia. Esto es sólo la punta del iceberg: los datos digitalizados están integrados en todas las prácticas empresariales.
La información digital ofrece a las empresas un enorme potencial, pero debido al mayor uso de datos personales, también crea vulnerabilidades e interdependencias entre dos amenazas antes discretas: la privacidad y la seguridad de los datos. Por ejemplo, las filtraciones de datos pueden ser el resultado de un ciberataque, pero tienen implicaciones para la privacidad de los datos.
El Reglamento General de Protección de Datos (RGPD) y otras normas internacionales han comenzado a tener efecto, lo que significa que las empresas están empezando a sentir el costo comercial de las violaciones de la privacidad de datos. Por lo tanto, tal vez no sorprenda que veamos que la privacidad de los datos está ganando importancia en la agenda empresarial. La investigación de Grant Thornton entre más de 4.500 líderes empresariales internacionales encontró que 2 de cada 3 coincidieron en que, debido a la nueva regulación, en los últimos años se ha prestado más atención a las cuestiones de privacidad que a la seguridad cibernética en sus negocios.
Sin embargo, es importante no perder de vista el riesgo real y creciente para la seguridad cibernética: la Comisión Económica para América Latina y el Caribe (CEPAL) indica que durante los primeros ocho meses del año 2021, en la región de Latinoamérica hubo 35 ciberataques por segundoi.
Mike Harris, Socio especializado en Forensics y Ciberseguridad de Grant Thornton Irlanda, destaca que la privacidad de los datos y la seguridad cibernética nunca han estado tan interconectadas. “En el mundo actual impulsado por los datos, la privacidad y la ciberseguridad simplemente no pueden considerarse de forma aislada”, afirma. "Más bien, deberían verse como parte de una función de riesgo digital más amplia".
El riesgo digital es un modelo impulsado por el negocio que considera de manera proactiva los riesgos comerciales asociados con los datos digitalizados en todos los procesos comerciales, incluida la ciberseguridad y la privacidad de los datos, junto con otras consideraciones como la regulación, la automatización y la ética.
Pensá en cómo proteges tu propia casa. ¿Algún día te preocuparías en cerrar todas las puertas con llave, pero felizmente dejarías las ventanas abiertas? O ¿ignorarías poner la alarma porque estás demasiado ocupado concentrándote en asegurar el acceso desde el jardín? Por supuesto que no. Es necesario considerar todos estos riesgos en conjunto o las medidas de protección fallarán rápidamente.
Lo mismo ocurre cuando se evalúa el perfil de riesgo digital de una empresa: centrarse en cada una de las amenazas por separado no es eficaz y, en cambio, deben integrarse y gestionarse de forma proactiva en conjunto. Sólo cuando una empresa adopta un enfoque holístico como éste se pueden lograr avances reales.
De hecho, esta buena práctica integrada está incorporada en diferentes regulaciones. Por ejemplo, la Ley General de Protección de Datos (GDPR) de la Unión Europea establece que, para cumplir, las empresas deben implementar medidas de “protección de datos desde el diseño y por defecto”.ii La Oficina del Comisionado de Información explica que esto significa que las empresas deben “integrar o incluir la protección de datos en […] las prácticas comerciales, desde la etapa de diseño y durante todo el ciclo de vida”.iii De hecho, sería muy difícil integrar tales medidas de privacidad en toda la empresa sin una función única e integrada.
Es fundamental que las empresas afronten de manera efectiva y eficiente el riesgo digital. Sin embargo, están luchando porque la privacidad de los datos y la ciberseguridad a menudo están a cargo de diferentes equipos. Generalmente, el Director de Privacidad (CPO) asume la responsabilidad de la privacidad de los datos, mientras que el Director de Seguridad de la Información (CISO) se encarga de la ciberseguridad.
Sería mucho mejor que ambos fueran administrados por el mismo equipo o por un equipo integrado con un nuevo modelo de gobernanza que proporcione una estructura de informes directos al CEO/CRO (Director de Riesgos) con supervisión de una junta. Después de todo, gran parte del trabajo que garantiza el cumplimiento de la privacidad de los datos puede utilizarse para reforzar la ciberseguridad, y viceversa. Además de ayudar a las empresas a gestionar los riesgos digitales, este enfoque añade valor al permitirles presentar iniciativas de transformación digital.
Un único equipo de riesgo digital también garantizará que la clasificación de datos que las empresas están llevando a cabo en todo el negocio para diversos fines esté alineada y coordinada.
La clasificación de datos significa comprender qué datos posee la empresa, los procesos a los que se conecta y quién los gestiona. Es una parte crucial del cumplimiento de las normas de privacidad de datos como el RGPD, pero también se puede utilizar para mejorar la ciberseguridad.
Al emprender un programa estructurado para evaluar y comprender los activos de datos -utilizando un proceso de categorización o clasificación-, las empresas pueden identificar sus datos clave y crear una seguridad efectiva a su alrededor.
Harris agrega: “vemos que el principio de Pareto se aplica al riesgo de datos en muchas empresas, donde el 20% de los datos de una empresa conlleva el 80% del riesgo. Es casi imposible hacer que todos los sistemas sean a prueba de ataques, así que ¿por qué no centrarse en los datos cuya seguridad es absolutamente esencial para el negocio y para los clientes?”.
Hans Bootsma, Socio especializado en Riesgo Cibernético de Grant Thornton Países Bajos, está de acuerdo en que un enfoque integrado de privacidad y ciberseguridad se extiende al proceso de clasificación.
"La mayoría de las empresas nunca clasificaron datos antes del RGPD", afirma. “Pero empezaron a hacerlo porque tenían que categorizar la información de identificación personal y otros tipos de datos para poder cumplir. Si se ejecuta un programa como este, entonces es fácil ampliarlo y combinarlo con otros tipos de datos para identificar las 'joyas de la corona' en términos de información y luego vincularlos con el programa cibernético”.
A menos que la privacidad de los datos y la ciberseguridad estén alineadas, el proceso de clasificación se realizará en silos aislados y los beneficios no se compartirán.
La interconexión entre la privacidad de los datos y la ciberseguridad nunca es más dolorosamente obvia que inmediatamente después de una violación de datos. Las empresas necesitan saber cómo se produjo la infracción y qué ciberdefensas (si las hubo) fallaron. Pero, sobre todo, también necesitan comprender qué datos se vieron comprometidos y si eran personales o sensibles. Si es así, deberán revelarlo.
La mayoría de las empresas no están completamente equipadas para hacer esto. Sólo el 28% de las empresas encuestadas por Grant Thornton están "altamente satisfechas" con su capacidad para protegerse contra el riesgo de una infracción grave y sólo el 26% con su capacidad para responder de forma consistente a una infracción importante en toda la empresa, sin importar cuándo o dónde tenga lugar.
Integrando la privacidad y la seguridad en una sola función, las empresas podrán responder de manera más efectiva a las violaciones de datos gracias a sus recursos combinados y su comprensión holística de la amenaza.
"La privacidad y la ciberseguridad son complejas porque se unifican en el mundo real", dice Harris. “Una filtración de datos podría comenzar como algo muy técnico en un proveedor de nube subcontratado. Pero al responder al incidente es necesario considerar si hay datos personales involucrados y qué divulgaciones regulatorias deben hacerse”.
“De repente, ambas se interconectan. En lugar de dos funciones cibernéticas y de privacidad separadas que respondan a una vulneración, tiene sentido tener una función integrada con las habilidades especializadas para gestionar el proceso, de modo que nada se pierda".
La mayor interconexión de la ciberseguridad y la privacidad tiene implicaciones en la forma en que se gestiona el riesgo de terceros. Por ejemplo, la regulación de la privacidad de los datos, como el RGPD, exige que las empresas obtengan garantías sólidas de los proveedores que manejan los datos en su nombre.
"Tendría mucho sentido que las organizaciones fusionaran aspectos de ciberseguridad de la gestión de riesgos de terceros con controles de privacidad", afirma Harris. “Solo es cuestión de preguntar por ambas cosas al mismo tiempo. Es relativamente sencillo, pero no está ocurriendo de manera generalizada en este momento. Los equipos de seguridad cibernética y de privacidad lo hacen por separado”.
Por supuesto, esta gestión integral de riesgos por parte de terceros eliminará la duplicación de esfuerzos y generará eficiencias. Sin embargo, lo más importante es que producirá una comprensión más integrada del riesgo digital.
Adoptar un enfoque empresarial integrado para la gestión del riesgo digital ofrece una serie de beneficios clave para las organizaciones:
En primer lugar, puede ayudar a impulsar iniciativas de transformación digital porque la clasificación de datos y el cumplimiento que las empresas están llevando a cabo en todo el negocio para diversos fines están alineados y coordinados.
En segundo lugar, una función de riesgo digital que lleve a cabo evaluaciones exhaustivas del riesgo digital de terceros y de la cadena de suministro está mejor posicionada para garantizar que el riesgo se considere en toda la organización. Una forma de hacerlo es preaprobar a los proveedores desde una perspectiva de riesgo.
"Las empresas pueden transformarse digitalmente más rápido si realizan el proceso de aprobación de proveedores desde el principio", afirma James Arthur, Socio y Director de consultoría cibernética de Grant Thornton UK. "Es mucho más fácil hacer esto si se tiene una única función de riesgo digital que evalúe proactivamente el riesgo de ciberseguridad y privacidad en conjunto".
En tercer lugar, las empresas siguen utilizando nuevas tecnologías para buscar ventajas comerciales, lo que significa que su enfoque de la privacidad de los datos y la ciberseguridad también debe evolucionar continuamente para abordar nuevas amenazas y vulnerabilidades. Una función integrada de riesgo digital está en mejor posición para examinar algunas de estas nuevas tecnologías, como el blockchain.
El argumento a favor de una función integrada de riesgo digital es claro. Pero ¿quién debe supervisarlo y gestionarlo?
Por el momento, existe confusión acerca de sobre quién recae en última instancia la responsabilidad, y esto está obstaculizando la gestión de riesgos digitales. Es revelador que las empresas encuestadas digan que la falta de comprensión sobre qué riesgos son responsabilidad de los individuos y los equipos es su segundo mayor punto débil en la gestión del riesgo digital.
Lo primero que hay que considerar es quién gestiona el riesgo digital desde el punto de vista del día a día. La mayoría de las empresas encomiendan esto al director de riesgos o al director de tecnología. Pero, la gestión eficaz del riesgo digital depende de mucho más que de la tecnología. Los directores de riesgos informan sobre riesgos más holísticos para el negocio: estratégicos, financieros y operativos. Entonces, ¿cuál es la respuesta?
Introducir la función de Director de Riesgos Digitales. "Las organizaciones están empezando a crear funciones de riesgo digital dirigidas por un Director de Riesgo Digital", confirma Arthur. “Aquí es donde debe recaer la responsabilidad de gestionar el riesgo digital. Pero por el momento, en la mayoría de las empresas, todavía son organizativamente distintos”.
Una vez que la gestión diaria de riesgos digitales esté implementada, es esencial considerar quién proporciona la supervisión. Al igual que con el riesgo financiero, la gravedad del riesgo digital significa que la junta debe asumir un papel activo. Si bien es necesario que la junta lo supervise, es posible que no siempre tenga la experiencia técnica para comprender la naturaleza de la amenaza. Por lo tanto, lo ideal sería que se estableciera un comité de riesgo digital específico dentro del consejo para supervisar este riesgo, con representación de expertos.
“La supervisión del riesgo digital debería realizarse a nivel de la junta directiva”, afirma Christos Makedonas, Líder de Riesgo Tecnológico de Grant Thornton Chipre. “También debería haber un comité que discuta el riesgo digital”.
“El riesgo digital es multifacético, por lo que es necesario que muchas personas participen en este proceso. Por el momento, esto sólo ocurre en empresas grandes y fuertemente reguladas, especialmente en las de servicios financieros”.
1) Combinar las funciones de privacidad de datos y ciberseguridad para crear una única función de riesgo digital. Este nuevo equipo debe regirse por un modelo único y seguir el mismo conjunto de procesos, objetivos y prácticas conectados con impulsores comerciales de negocios más amplios.
2) Determinar quién es responsable de gestionar y supervisar el riesgo digital, planificar sus actividades y flujos de trabajo diarios y ver si hay alguna superposición. Identificar sinergias y eliminar procesos duplicados.
3) Asegurarse de que los procesos de riesgo digital se gestionen de extremo a extremo. Por ejemplo, se debería evaluar tanto la ciberseguridad como la privacidad de los datos. Ambos factores también deben evaluarse al clasificar los datos.
[i] R. M. Díaz, “Ciberseguridad en cadenas de suministros inteligentes en América Latina y el Caribe”, Documentos de Proyectos(LC/TS.2022/70), Santiago, Comisión Económica para América Latina y el Caribe (CEPAL), 2022. Pág. 54.
[ii] Eur-Lex - General Data Protection Act.
[iii] Information Commissioner’s Office - Data protection by design and default.