Por José Lagos. Socio principal Cybertrust
El estudio académico de las brechas de datos no es alguno nuevo en la investigación científica y se pueden encontrar diversos estudios relacionados a brechas de datos en relación al impacto en los créditos de consumo (Mikhed & Vogan, 2017), preocupaciones de las organizaciones en relación a las brechas de datos (Manworren, Letwat, Daily, 2016), los daños de una brecha de datos de Equifax (Moore, 2017), el efecto que provoca el anuncio de las brechas de datos más allá del precio de la acción (Rosati, Cummins, Deeney, Gogolin, Van der Werff, Lynn, T., 2017). Otras investigaciones han estudiado la estimación de los costos de una brecha de datos (Algarni, Abdullah M.Malaiya, Yashwant K., 2016 y Romanosky, Sasha 2016), y el impacto de las brechas en las organizaciones (Campbell, 2003, Cavusoglu, 2004, Hovav and D’Arcy, 2003), pero no observamos en la literatura investigaciones relacionados al impacto de las brechas de datos en los Gobiernos Corporativos posterior a la brecha.
Dado el costo y la probabilidad de un ciberataque exitoso, es importante preguntarnos si la materialización de una brecha de datos provoca algún impacto a nivel del Gobierno Corporativo de las empresas, si la intensidad de una brecha provocará la incorporación de un nuevo director independiente experto en temas de Ciberseguridad ? o el Chief Information Officer en caso de existir en la empresa, tendrá mayor poder organizacional?.
Una pregunta interesante de conocer, son las acciones que pueden tomar las corporaciones en respuesta a un ataque de ciberseguridad con una brecha o robo de datos, lo cual implica que los datos de los clientes son expuestos públicamente, vulnerando los controles y exponiendo públicamente esa información robada. Muchas empresas anuncian acciones inmediatas para mejorar la ciberseguridad. Cuando la brecha o robo de datos implica información de clientes, las organizaciones aseguran su compromiso con la protección de datos. También la empresa que sufre la brecha o robo de datos es demandada y llega a un acuerdo. Independientemente de lo mencionado anteriormente, muy poco sucede en responsabilizar a los individuos o hacer cambios estructurales que mejoren la experiencia en ciberseguridad a los niveles ejecutivos y principalmente a la Junta Directiva. Las empresas que han sufrido brechas de seguridad, por lo general mantienen al CEO de la compañía, las excepciones han sido brechas de datos masivas como Target y Equifax, en donde los CEO fueron despedidos después de las brechas de seguridad que sufrieron estas compañías.
El gobierno corporativo no es un tema nuevo y en la actualidad sigue siendo un tema relevante. La necesidad de gobierno corporativo surge debido a la separación de la administración y la propiedad en las organizaciones modernas. En la práctica, el interés de quienes tienen control efectivo sobre una empresa puede diferir de los intereses de los proveedores de financiamiento externo. El problema de agencia (Jensen y Meckling, 1976) se refleja en la gestión de actividades que pueden perjudicar el interés de los accionistas y este problema puede mitigarse a través de las protecciones derivadas del buen gobierno corporativo. El gobierno corporativo se refiere al conjunto de sistemas y principios por los cuales una empresa está siendo dirigida, administrada o controlada y a los objetivos para los que se está gobernando (Vallabhaneni, 2013).
Según la OCDE (2015) el Gobierno Corporativo es un elemento fundamental para el éxito de la organización. Del mismo modo, aquellas empresas que insisten en los más altos estándares de gobierno tienen como objetivo reducir muchos de los riesgos inherentes a una inversión en una empresa (Aguilar, 2014) incluyendo entre ellos el riesgo de Ciberseguridad o la ocurrencia de una brecha de datos.
Investigaciones recientes han determinado algunos atributos importantes que son de interés cuando se evalúa un buen gobierno corporativo, estos atributos incluyen la Composición del Directorio, el tamaño del Directorio, la participación en múltiples directorios, provisión de servicios consultivos por empresas auditoras, composición del comité de remuneraciones y dualidad del CEO (Adrian, Wright, Kilgore – 2017). La composición del Directorio es un atributo clave, relacionado al Gobierno Corporativo y las regulaciones son conscientes en asegurar la independencia de los directores para garantizar que estos ejecuten un monitoreo eficaz.
Según el sitio Brech Level Index, desde al año 2013 al 2017, han ocurrido más de 7.800 brechas de seguridad alrededor del mundo, siendo el incremento de más del 60% entre el año 2013 y 2016.
Al efectuar un análisis de la Junta Directiva de estas organizaciones, podemos mencionar que el 70% de ellas ha incorporado en su Junta Directiva a Directores independientes con expertise en Ciber Seguridad, si bien es cierto esto es algo limitado, considerando el gran volumen de empresas que han sufrido brecha de datos, es el inicio de lo que futuramente existirá en los diversos directos de las empresas chilenas, es decir, directores independientes expertos en temas de CiberSeguridad