No cabe duda de que la gestión de la seguridad incluye satisfacer los requisitos de las partes interesadas, sean estas internas o externas.
Los accionistas/inversionistas conforman parte de el ecosistema de esas partes interesadas internas que esperan de las organizaciones que, no solo estén bien alineadas para lograr los objetivos de negocio, sino que también sean diligentes para evitar aquellas acciones que puedan suponer una merma de la rentabilidad, como lo son los incidentes de seguridad de la información y/o ciber incidentes, que además de poder suponer un costo por la parada y respuesta, lo es también desde el punto de vista de la reputación, de las consecuencias de los incumplimientos legales o contractuales, etc.. Todos ellos elementos que, por sí solos, lastran la consecución de los objetivos de negocio.
(Imagen de Freepik)
Ahora bien, también es hora de que los accionistas/inversionistas, exijan a la alta dirección un mayor compromiso con la seguridad, con la diligencia y con la mejora continua. Solo con un alto compromiso de todas las partes se puede luchar contra esta realidad. Por tanto, los accionistas/inversionistas deberán tener en cuenta que en una economía digital, a la hora de realizar sus inversiones, no solo deban mirar los indicadores cortoplacistas asociados a la rentabilidad económica, sino que deberán empezar a exigir información sobre el nivel de calidad de la gestión del riesgo cibernético.
Aspectos como el número de incidentes detectados y gestionados en los últimos años; porcentaje de inversión en la mejora de la gestión cibernética; política de la empresa a la hora de realizar fusiones o adquisiciones y que puedan suponer un incremento del riesgo cibernético; política de seguridad, cumplimiento y diligencia en la cadena de suministro, etc.. Estos indicadores pueden suponer una enorme fuente de información para los accionistas/inversionistas a la hora de determinar quién o quiénes pueden ser receptores de su interés económico y de su inversión.
A su vez, esa preocupación, puesta de manifiesto en la demanda de información de diligencia y mejora del riesgo cibernético, puede suponer un acicate o estímulo para que la alta dirección se comprometa de lleno a incorporar en sus agendas, como una preocupación más, la correcta gestión del riesgo cibernético.
Los mercados han sido, son y serán elementos correctores y correctivos de las conductas y/o actitudes. Por tanto, es hora de que también asuman su rol de responsabilidad y empiecen a exigir indicadores de nivel de cumplimiento y compromiso. También es hora de que pongan en valor a aquellas organizaciones que, con un alto sentido de responsabilidad y cumplimiento, están introduciendo programas de gestión de seguridad y de la privacidad, basado en las mejores prácticas del sector, como elemento estratégico diferenciador, dotándolas de mayor nivel de transparencia y de confiabilidad.
Artículos como el publicado por Esmeralda Saracíbar y Francisco Pérez Bes en el portal www.eurocloud.org bajo el título: When privacy became an investment risk. Shall companies report its security incidents to the market? el viernes 12/03/2021 me han impulsado a escribir este post, además del hecho de haber participado ese mismo día en el II Congreso de la Seguridad de la Información y Privacidad organizado en Chile por la Fundación Sochisi y que contribuyen mucho a poner a ras de piel un problema real y… ¡estratégico en el devenir de las empresas!. Para quiénes no hayáis leído ese artículo pongo un enlace debajo y os animo a la lectura.