A cualquier profesional del mundo de la informática se empañarán los ojos al oír hablar de gobernanza. Sin embargo, su importancia irá creciendo en los próximos años. En este contexto la palabra gobernanza abarca tanto los controles del estándar como el riesgo, que quiero incluyo en mi personal definición.
Como profesional de la ciberseguridad asesoro a mis clientes sobre gobernanza, según su cumplimiento y normativa, en lo que respecta a la seguridad de las organizaciones. Si trabajas en empresas que manejan datos médicos, bancarios o deben seguir la normativa PCI DSS, entonces reconocerá la complejidad que rodea a las TI para poder conseguir el cumplimiento de estas normas.
¿Por qué es importante la gobernanza?
Empecemos por la razón por la que la gobernanza será cada vez más importante. En los últimos años, el GDPR ha sido un gran problema para las empresas y organizaciones. Por otro lado, el GDPR es solo una de las muchas normativas que las organizaciones deben cumplir como parte de su actividad empresarial.
Dependiendo del sector, puede haber más regulaciones y problemas de cumplimiento con los que lidiar, y los gobiernos de todo el mundo están agregando otras normas. ¿Por qué? Bueno, porque prácticamente cada semana podemos leer sobre nuevas filtraciones de información y hackeos, y la cantidad de estas noticias no muestra signos de desaceleración. Se están convirtiendo en algo habitual, al igual que las historias de mala conducta empresarial, sobre las que volveré más adelante.
Así pues, la presión reguladora seguirá aumentando en los próximos años, especialmente por parte de los distintos gobiernos de todo el mundo. Los estados no pueden permitirse quedarse de brazos cruzados mientras las empresas pierden información sobre sus ciudadanos o hacen un uso indebido de ella. Si a esto añadimos la plétora de escándalos empresariales que hemos visto en los últimos años, podemos entender por qué los gobiernos nos están inundando con nuevas leyes.
A las distintas normativas gubernamentales hay que añadir las actualizaciones de las normas y reglamentos ya existentes, que los distintos organismos del sector mantienen para los diferentes sectores verticales de la industria, con el fin de mantenerlos al día de las últimas amenazas. Se puede entender por qué son importantes las estructuras de gobierno en una organización y, con el paso del tiempo, serán aún más fundamentales.
¿Qué opciones tenemos?
La implantación de la gobernanza en cualquier tipo de organización no es algo que deba abordarse a medias. Si trabajas en una empresa que no tiene cultura ni historia de gobernanza, te enfrentarás a una ardua batalla. No hay otra forma de decirlo. por otro lado, si tienes la suerte de formar parte de una empresa que se toma en serio su responsabilidad, independientemente de que tenga o no una cultura de gobernanza, ¡enhorabuena! Puedes valorar de forma positiva a tu empresa y la suerte de trabajar en este contexto laboral. Pero, ¿cómo empezar a implantar la gobernanza en una empresa?
Independientemente de la cultura empresarial, es necesario conseguir el apoyo de la dirección, preferiblemente de los niveles más altos. Tratar de implantar la gobernanza desde la base es una batalla perdida.
A la hora de incluir un programa de gobernanza, uno de los primeros retos es decidirse entre las diferentes posibilidades. Dependiendo del sector en el que se trabaja, algunas de las opciones son obligatorias, mientras que la mayoría tendrá que considerar al menos algunas de las posibilidades que se indican a continuación:
- ISO 27001 Gestión de la seguridad de la información
- ISO 27701 Gestión de la privacidad de la información
- ISO 37001 Gestión de la seguridad Anti Bribery
- PCI DSS Protección de datos de tarjetas de crédito
- COBIT Objetivos de control para TI
- ISO 31000 Gestión de riesgos
La infraestructura de TI se encuentra en la parte inferior de la pirámide. Sin embargo, puedes observar en la imagen que no he añadido la TI en la capa de los procesos empresariales ni en el ápice de la gobernanza. Es una decisión consciente. Que yo sepa, hoy en día no hay ninguna empresa que no dependa de algún modo de los sistemas informáticos. Los procesos empresariales se ejecutan en sistemas informáticos o se apoyan en ellos, y la gobernanza se aplica en la parte superior para el control de la empresa en su conjunto. La TI no debe tratarse sólo dentro del departamento de informática, siendo un asunto del negocio. Los riesgos de los sistemas informáticos son ahora amenazas para la empresa y deben evaluarse a nivel ejecutivo, con el consejo de empresa bien informado sobre cualquier aspecto relacionado con la informática. Gracias a la gobernanza se puede conseguirlo.
La gobernanza es un requisito empresarial
Esta sección refleja mi opinión personal sobre la importancia de la gobernanza en las empresas y organizaciones. He mencionado anteriormente que una estructura de gobernanza facilita a una empresa el cumplimiento de las nuevas normativas, como puede aclarar una auditoría. Contar con estructuras de gobernanza también demuestra que la empresa ha hecho un esfuerzo por implementar la seguridad en su negocio y proteger los datos de sus clientes, lo que podrá facilitar, durante una infracción, demostrar la aplicación de la medida de seguridad ante cualquier organismo regulador. En estas circunstancias, es probable que la multa impuesta por el GDPR sea menor en caso de pérdida de datos personales.
La gobernanza puede ayudar a una empresa u organización a actualizar y cumplir las diferentes normativas. Además, creo firmemente que se convertirá en la herramienta que proporcionará a los clientes y a los inversores confianza en una empresa.
Vivo en Dinamarca, donde algunos de los mayores bancos se han visto envueltos en los mayores escándalos de blanqueo de dinero del planeta. Ninguno de esos bancos ha mostrado la más mínima inclinación a aplicar ninguno de los sistemas internacionales de gobernanza en sus negocios, más allá de los que se exigen por ser bancos, y por ello están perdiendo clientes en favor de otros bancos. Yo mismo dejé uno de esos bancos precisamente por eso. También los inversores han estado vendiendo sus acciones en los bancos, haciendo que se desplome su valor en el mercado. Estoy seguro de que tendrás ejemplos parecidos de tu propio país.
Esta es la razón de mi opinión sobre la importancia de la gobernanza en cualquier empresa, ya que sin ella, ¿cómo van a confiar los clientes sus datos o los inversores su dinero a una empresa? Así pues, la gobernanza incrementará su importancia en los próximos años.
Traducción en español del artículo original publicado en Cybersecurity Magazine, cuya divulgación en Cuadernos de Seguridad ha sido autorizada por el autor.
