El rol del gobierno corporativo en las instituciones ha ido cambiando en los últimos años. Cuando se habla del gobierno corporativo se hace referencia al conjunto de principios, normas y procedimientos que las instituciones generan para su mejor gestión y administración. Sin embargo hoy con los diversos cambios que la tecnología introduce en la forma de hacer las cosas y ante la llegada de la transformación digital los directorios de las instituciones no pueden dejar de lado el considerar en sus agendas el tema de la ciberseguridad.
El escenario de integración de la tecnología en la estrategia y en los modelos de negocio de las empresas abre espacio a la necesidad de conocer más de los riesgos a los que se puede estar expuestos en la operación permanente, ante ello, se hace necesario que las empresas conozcan sus riesgos en materia de ciberseguridad, identificar también sus capacidades de respuestas a incidentes en seguridad de la información, contar con planes concretos para mantener la continuidad del negocio y minimizar el riesgo operacional.

Todo lo anterior hace necesario que el directorio esté al tanto en la identificación de los cambios regulatorios en estas nuevas materias, aquí es importante tener presente la reforma a la ley 19.628 sobre protección de datos, pero también identificar las exigencias internacionales en materia de protección de datos que impactan a empresas chilenas que tratan datos de ciudadanos europeos o que tienen operaciones en ese continente, por ejemplo; con la entrada en vigencia del nuevo Reglamento Europeo en Protección de Datos, esto desafía a los directores a anticiparse a diversos cambios que se están generando y exigir a la alta gerencia que tome las acciones oportunas para adecuar a la institución a las nuevas regulaciones.
Es importante alinear la gestión de los riesgos a este entorno tan exigente pero debe conversar también con los riesgos y la continuidad operacional, más aún cuando los temas de ciberseguridad son tan nuevos que muchas de las materias que impactan a ella son aspectos técnicos que requiere un conocimiento previo para poder consultar y tomar las mejores decisiones estratégicas y de resguardo de unos de los principales activos que tienen las empresas hoy, la información. Un incidente en estas materias puede generar un impacto en el valor de la acción, en sus activos, la exposición a altas multas, por ejemplo, en Europa en que el nuevo Reglamento de Protección de Datos fija sanciones que pueden ser de hasta 20 millones de euros o del 4 % del volumen de negocio global, la cifra que sea más alta, en los contratos y relaciones comerciales con clientes en que la empresa puede quedar expuesta a situaciones complejas que impactan la prestación de servicios a terceros y sobre todo a un efecto directo en el riesgo reputacional de la empresa generando un alto costo de imagen hacia los stakeholder.

Sin embargo, la importancia que se le da a este tema tampoco es de una magnitud que se destaque, siempre se considera a el área de seguridad como un costo y no como una unidad que agregue valor a la organización. El tema de la seguridad de la información debe ser una materia que sea tratada por el directorio de las empresas y dentro de ella en los comité de auditoría de la organización, se hace necesario que los directores de empresas hagan suya las preguntas del funcionamiento de la organización cómo están los niveles de seguridad de la información, cómo se avanza en las auditoría, qué estándares se utilizan, qué cambios normativos existen o están por entrar en vigencia que impacte a la empresas, existen brechas o no, es importante que el gobierno corporativo tenga a la vista los reportes que les proporcionen una mirada integral ante eventuales riesgos en materia de ciberseguridad.

Hay que tener presente que en el entorno que vivimos hoy el tema de la ciberseguridad no sólo es materia de los expertos informáticos, sino que es un tema multidimensional que involucra de manera transversal a diversas áreas en una organización tales como informática, auditoría, jurídica, operacional y riesgos. Si queremos la continuidad de las operaciones de las empresas, ellas deben trabajar mancomunadamente previniendo eventuales ataques, y los directores están llamados también a conocer este escenario.