Gobierno corporativo y gestión de seguridad y ciberseguridad.

Por: Juan Carlos López, Presidente ISACA-Quito, CISA, CGEIT, CRISC, CISM, COBIT 

El gobierno corporativo y la gestión de seguridad y ciberseguridad establece un marco robusto que sirve de guía sobre cómo una organización controla y protege sus operaciones digitales. Bajo este marco se asegura la integridad, confidencialidad y disponibilidad de la información, fortaleciendo la confianza de los stakeholders y el cumplimiento de regulaciones legales, mejora la sostenibilidad y reputación empresarial en el entorno digital. 

Con el marco del gobierno corporativo, las partes interesadas delegan la dirección de la organización a un Cuerpo de Gobierno, que será responsable de los resultados obtenidos por la gestión, alineando a la organización en pos de objetivos comunes y evitar la dispersión en los diferentes sistemas de gestión. Un buen gobierno corporativo busca generar valor optimizando los riesgos y recursos, lo cual se logra mediante la evaluación de las necesidades de las partes interesadas, la priorización de su satisfacción, la evaluación de la gestión organizacional y la supervisión de la gestión. 

A esta estructura organizacional líder del gobierno corporativo se la conoce como el Consejo de Administración o Directorio. La dirección de los sistemas de gestión especializados, como tecnología, riesgos, seguridad y ciberseguridad, se delega a los Comités respectivos que deben reportar al directorio y cumplir con las actividades descritas anteriormente, de forma especializada y adaptada a los objetivos específicos de cada sistema de gestión. 

Enfoque de gobierno en el Sistema de Gestión de Seguridad de la Información y Ciberseguridad 

Aunque las inversiones en capacidades de seguridad de información y ciberseguridad han ido en aumento, asegurar que estas capacidades apoyen de forma alineada la consecución de los objetivos del sistema de gestión requiere iniciar con un buen gobierno desde el comité. En la práctica, los comités de seguridad de la información tienden a ser meros receptores de información de la gestión y aprobadores de inversiones, sin cumplir adecuadamente sus roles, de manera que es necesario definir claramente sus roles, responsabilidades y medir su desempeño. 

Entre los temas que debe evaluar, dirigir y supervisar se encuentran: 

• El Contexto interno y externo de la organización. 
• Las necesidades de las partes interesadas 
• El universo de riesgos (Activos de información críticos y sensibles) 
• Las evaluaciones de riesgos 
• El cumplimiento normativo 
• El programa de seguridad (incluyendo programas subsidiarios como el de concienciación, proyectos y planes) 
• Los resultados de evaluaciones internas y externas 

• Las métricas e Indicadores de gestión, incluyendo la medición del retorno de inversión y la explotación de adquisiciones tecnológicas 
• Los controles, políticas y procedimientos clave como la gestión de incidentes. 

Además, las habilidades y competencias de los miembros del comité son vitales, y en ocasiones requiere de expertos especializados como consejeros externos.  

Las habilidades y competencias de consejeros externos: 

• Conocimiento profundo del negocio y la tecnología. 
• Experiencia en gobierno corporativo. 
• Experiencia en gestión de seguridad y ciberseguridad. 
• Mantenerse al tanto de los avances tecnológicos y el estado del arte en temas de seguridad y ciberseguridad. 
• Experiencia en gestión de riesgos. 
• Conocimiento de buenas prácticas y marcos de referencia. 

Estas habilidades y competencias garantizan que el comité de gobierno esté debidamente equipado para abordar los desafíos y riesgos relacionados con la seguridad de la información y la ciberseguridad. 

Factores que determinan la solidez del gobierno corporativo de seguridad de la información y ciberseguridad 

El comité de seguridad de la información debe tomar en cuenta tanto la estructura organizativa, la gestión del riesgo, cumplimiento normativo, transparencia, cultura, etc., para determinar la efectividad del sistema de gestión de seguridad de la información y ciberseguridad. 

La claridad en la asignación de responsabilidades dentro de la estructura organizativa garantiza que todas las áreas relevantes estén involucradas en la gestión de la seguridad de la información y la ciberseguridad. Es decir, implica la definición de roles y autoridades relacionadas con la seguridad de la información, desde la alta dirección hasta los empleados de nivel operativo. 

Una Gestión de riesgos continua y adaptativa en la medida que evolucionan los riesgos a través de una evaluación de los activos de información críticos y sensibles, amenazas internas y externas, y vulnerabilidades en sistemas y procesos. 

Además, del cumplimiento normativo y legal de las regulaciones y estándares relacionados con la seguridad de la información y la ciberseguridad; la transparencia y responsabilidad en la comunicación sobre asuntos de seguridad para mantener la confianza de las partes interesadas. También es importante promover una cultura organizacional que valore y priorice la seguridad de la información y la ciberseguridad que tenga programas de educación y concientización para los colaboradores sobre las mejores prácticas de seguridad y fomentar una mentalidad de seguridad en todas las actividades empresariales.  

Y finalmente, se debe realizar una evaluación periódica del programa de seguridad de la información y la ciberseguridad para identificar áreas de mejora con la revisión de incidentes pasados, la retroalimentación de los empleados y la realización de auditorías de seguridad regulares. Con una mejora continua la organización estará al tanto de las nuevas amenazas, tecnologías y adaptarse para mantener una postura de seguridad sólida.