Hoy, Riesgo Cibernético es un término que cubre redes, computadores, programas, y data. Por lo tanto, cualquier amenaza a estos activos es un problema de TI. ¿Correcto? No exactamente, y menos hoy. Fue un problema de TI, seguro, y si hoy todavía es tratado como tal en su organización entonces le sugiero que considere moverlo hasta el tope, a la Junta Directiva. Es un tema extremadamente sensitivo que debe ser incluido como tema en la agenda de la Junta dado que tiene el potencial de comprometer la propia supervivencia de la organización. Considere, primero, la responsabilidad de su organización en su rol de custodio de la data de sus clientes; después, agregue a eso todo aquello que le es requerido proteger por regulación, estatutos, o contratos y, para cerrar, los secretos de su organización que deben ser mantenidos como tales: secretos. Si incluimos el factor dinero, entonces agregamos una nueva dimensión: cómo crear una política de protección que no nos vacíe la cuenta bancaria. Analicemos el primero de estos elementos por su potencial para producir consecuencias catastróficas – daño a la reputación de su organización, buena fe, y activos tecnológicos – y porque incluye o afecta a todos los demás.
Empecemos por una definición necesaria. En grupos de Gobierno de Datos (Data Governance) normalmente reconocemos a un Administrador de Datos (Data Steward) y un Custodio de Datos (Data Custodian); el primero es responsable por contenido, contexto, y políticas, en tanto que el segundo es responsable por la seguridad de la data y la implantación de las políticas. Sin embargo, en la vida real podríamos hablar de un Señor de la Data, algo así como un Jefe Supremo, todavía en formación pero que se convertirá en una entidad muy poderosa responsable por todo lo que afecte a la data de los clientes, su privacidad, y temas relacionados: el público en general. Dejando de lado los temas de regulación gubernamental, ha habido un decidido incremento en la importancia que el consumidor asigna a la privacidad y protección de sus datos. Una cara de la moneda es el aumento en la recolección de los datos de los consumidores; la otra, cómo la organización protege estos datos. Mi opinión sobre este interesante proceso es que la organización y el público están convergiendo en una transacción mutuamente beneficiosa, cual es la conciencia y custodia de la data sensitiva. Ingentes cantidades de dinero, tecnología, y recursos humanos están construyendo la solución a este problema, y digo construyendo porque es un trabajo de nunca acabar. No importa cuán bien su organización proteja la data de sus consumidores, siempre existirá el riesgo de violación de la seguridad.
Si tomamos en consideración las implicaciones sociales y comerciales del mal manejo de la data de nuestros clientes, gran ayuda puede obtenerse al mover este tema a la máxima autoridad decisoria de la organización: la Junta Directiva. Desde aquí deben emanar las políticas y directivas en materia de Riesgo Cibernético. Al tratarlo como un tema de Junta Directiva, sus efectos se sienten en toda la organización y ése es, precisamente, el efecto que estamos buscando. Los negocios están siendo sometidos a un cada vez mayor escrutinio por parte de la sociedad y de los gobiernos; debemos, entonces, estar a tono con esto y actuar en consecuencia, con el mejor interés de nuestros clientes como principio guía. Una característica común de las organizaciones exitosas es el cuidado con que promueven lazos sólidos con sus clientes a través de la calidad de sus productos y servicios y, más importante, a través de comunicaciones inteligentes a todos los niveles, apoyadas por excelencia en el desempeño y conformación a regulaciones.
Se nos presenta como una importante responsabilidad pero también como una gran oportunidad. Responsabilidad porque la data de nuestros clientes convierte a nuestras organizaciones en Custodio de Datos y no solo tenemos que honrar tal rol, sino sobresalir en él. Ningún esfuerzo debe ser escatimado para proteger la data y, por supuesto, para conformarnos a las políticas internas y a las regulaciones gubernamentales e internacionales. Es una oportunidad porque podemos demostrar a nuestros clientes que no solamente conformamos nuestras organizaciones a las mejores prácticas y regulaciones, sino que somos proactivos en términos de la protección de sus datos. Por ello, proveer un ambiente seguro así como las políticas que garanticen todo esto solo puede venir de la Junta Directiva. Es allí donde pertenecen los temas mayores y donde se alinean para el bien de la organización y todas las partes interesadas (stakeholders), de las cuales los más importantes son nuestros clientes. Necesitamos ser proactivos y abiertos a sugerencias y nueva tecnología que ayude a proteger la data de nuestros clientes y, muy importante, que nuestros clientes tenga confianza en nuestros esfuerzos y sistemas cada vez que interactúen con nosotros. Se lo debemos a ellos y a nuestros accionistas.
0 comentarios:
Publicar un comentario