«Estadounidenses y tecnológicas, así́ son las mayores compañías por capitalización: Apple en primer lugar, Google en el segundo, Microsoft en el quinto, Amazon en el trigésimo cuarto».

«Las 100 mayores empresas por capitalización bursátil en 2015». PwC.[1]

.

La consultora Protiviti ha publicado recientemente los resultados de una encuesta global[2], realizada por la Iniciativa de Gestión del Riesgo Empresarial de la Universidad Estatal de Carolina del Norte, dirigida a consejeros y ejecutivos, sobre el impacto que tendrían para este 2016 27 cuestiones relativas al riesgo. Dichas cuestiones estaban clasificadas en tres categorías: macroeconómica, estratégica y operativa.

Las ciberamenazas -operativas- (57% de las respuestas), la gestión de identidades y de la privacidad, así como la seguridad de la información -operativas- (53%) y la “pobre digitalización” -estratégica- (51%) resultaron estar entre los 10 principales riesgos que los encuestados consideraron como de “impacto significativo” potencial en su organización.

Lo denominado de manera abreviada como pobre digitalización, la encuesta lo enunciaba como “la gran velocidad de innovaciones disruptivas y nuevas tecnologías en el sector que pueden superar la capacidad de nuestra organización para competir o gestionar el riesgo adecuadamente sin llevar a cabo cambios significativos en nuestro modelo de negocio”. Se trata, pues, del riesgo de no adaptarse ágilmente a la revolución digital.

Relacionadas con la seguridad de las tecnologías de la información, había otras cuestiones:

  • En la categoría estratégica, además de la ya citada pobre digitalización, se encuentra el impacto potencial de las redes sociales, aplicaciones móviles, las aplicaciones basadas en Internet, en la marca, en las relaciones con los clientes y en cómo se hace el negocio. En realidad, esta se puede considerar como un caso concreto de la anterior, al abarcar algunos temas y riesgos asociados a ellos.
  • En la categoría operacional se citan tres cuestiones:
    • Riesgo debido a la dependencia de empresas subcontratadas -outsourcing- o acuerdos estratégicos con proveedores de tecnología.
    • Insuficientes medios para la gestión de identidades y de la privacidad, así como para la seguridad de la información y la protección de los sistemas.
    • Incapacidad para hacer uso del «big data» para apoyar los planes estratégicos.

.

Las preguntas parecen dirigidas más que a obtener una visión de los riesgos que más preocupan a consejeros y directivos de las empresas, en particular de los riesgos derivados del uso -o no uso- de las TI, a hacer salir a la luz la poca preparación de la empresa para abordar un cambio hacia una digitalización, desde las llamadas cuestiones estratégicas del riesgo, como la no adaptación a los rápidos cambios tecnológicos, pudiendo ser superados por la competencia; a los insuficientes medios para el uso de aplicaciones analíticas y explotación de datos, para el control de identidades, o para hacer frente a la amenaza de los ciberataques.

La encuesta también ofrece los diferentes puntos de vista que los consejeros y los distintos miembros del equipo directivo («C-suite», CEO, CIO, CFO, etc.) tienen sobre el nivel de riesgo o impacto al que se enfrentan sus organizaciones.

Por una parte, según las respuestas ofrecidas por miembros de los consejos de administración, ellos consideran el riesgo de pobre digitalización con impacto bajo para sus organizaciones, mientras que el riesgo de ciberataques lo consideran como de «impacto significativo» potencial ¿Será porque estos se escuchan con mucha frecuencia mientras que las causas de un mal rendimiento o desaparición de una empresa no se relaciona con una pobre digitalización de la organización? ¿Será porque el ciberataque tiene una consecuencia directa en daños inmediatos y tangibles y de constatación inmediata, que de un fenómeno más dilatado en el tiempo o con muchas posibles causas difíciles de determinar?

Las respuestas ofrecidas por los consejeros coinciden con las establecidas por los CRO (Chief Risk Officers), los cuales incluyen entre los cinco riesgos con mayor impacto, además del de las ciberamenazas, los que tienen que ver con medios insuficientes para la gestión de identidades y de la privacidad, así como para la seguridad de la información.

Parecería que tanto consejeros como CRO coinciden en que las ciberamenazas son un problema que viene de fuera y que hay que tratar de contener con medidas tecnológicas, es decir, como algo a resolver por el departamento de TI.

Por otra parte, en las respuestas ofrecidas por los CEO o CIO, entre los cinco riesgos con mayor impacto no se encontraron las ciberamenazas ni ningún otro riesgo operativo. En concreto, para los CEO, entre los cinco primeros no había ningún riesgo relacionado con las TI. Por su parte, para los CIO es solo uno y es estratégico, el ya mencionado abreviadamente como pobre digitalización, pero ninguno está relacionado con la ciberseguridad o con la seguridad de TI, en general.

¿Preocupa a los CEO y CIO más una falta de estrategia que una capacidad de llevar a cabo dicha estrategia?

Del resultado de la encuesta se podría concluir que no hay una estrategia dirigida desde el órgano de gobierno de la organización para una digitalización de dicha organización.

Si faltan recursos para responder a los cambios tecnológicos, o para el uso de las TI como motor de la empresa, es porque falta un adecuado órgano de gobierno corporativo que entienda, en primer lugar, la digitalización como una necesidad de existencia de su organización y así disponga los medios necesarios para llevarla a cabo. En segundo lugar, que la digitalización no es un tema tecnológico, es un asunto del negocio; y, en tercer lugar, que la transformación digital cursa asociada a un cambio en la manera de llevar el negocio, y, por tanto, un cambio organizativo y de cultura de empresa.

Si la empresa dejara de existir ya no habría que preocuparse de las ciberamenazas.

Esto lo han entendido muy bien organizaciones como el Banco Santander, el cual recientemente ha nombrado a Larry Summers presidente del Consejo Asesor Internacional del banco, una de cuyas misiones será la de acelerar la transformación tecnológica de la entidad. Dicho comité contará entre sus miembros con Majorie Scardino, consejera de Twitter y exconsejera delegada de Pearson; Franck D’Souza, consejero delegado de Cognizant y miembro del Consejo de Administración de General Electric; Charles Phillips, consejero delegado de Infor, exdirector general y miembro del Consejo de Oracle; Mike Rhodin, director general de IBM Watson; George Kurt, consejero delegado y cofundador de CrowdStrike y James Whitehurst, director general  y consejero delegado de Red Hat[3].

Según el informe que encabeza el artículo, entre las 100 mayores compañías en el mundo por capitalización, las dos primeras son tecnológicas -Apple y Google- y la quinta -Microsoft- también. Las compañías tecnológicas han entrado en sectores, en principio alejados de las TI, como la automoción -Alphabet, concretamente, GoogleX, o Tesla-; o la energía solar -Tesla-; o el periodismo, -Amazon compró «The Washington Post»; o supermercados en línea -Amazon-, que también ha abierto una librería física en Seattle llamada «Amazon Books».

Dichas compañías invaden sectores que nada tienen que ver con la tecnología, pero que aprovechan el conocimiento sobre la explotación de dicha tecnología como motor de negocio para dar ese salto.

Por tanto, el primer riesgo asociado a la tecnología es precisamente el no utilizarla como impulsor del desarrollo del negocio, que se traduce en el riesgo de desaparecer.

Teniendo clara dicha necesidad del uso de las TI, es el órgano de gobierno el que debe, por una parte, dictar las normas de cómo usarlas, y por otra, supervisar que dichas normas se cumplan. Esto no es más que gobierno corporativo, particularizado para las TI, o GCTI.

Es claro que las ciberamenazas son una realidad como diariamente nos lo recuerdan distintos medios, pero trabajar en la ciberseguridad o la seguridad de TI en general, dado que estas ya están -o deberían estar- embebidas en los procesos de la empresa, debe hacerse desde una administración de los riesgos.

Las TI suponen un elemento nuevo dentro del negocio y forman ya, explícita o implícitamente, parte indisoluble de él. Los riesgos de TI, por tanto, deben formar parte de la política general de riesgos de la empresa. Dentro de las normas que define el órgano de gobierno estaría fijar el equilibrio idóneo para la organización entre rentabilidad y seguridad.

.

«El GCTI es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar por qué́, para qué y cómo de la aplicación y uso de las TI; y a evitar oportunamente y superar resilientemente las consecuencias no deseadas del referido uso.»

                                                                       Del «Manifiesto de iTTi sobre GCTI»[4]

.

Los CxO son los que deben ejecutar la estrategia del órgano de gobierno. Concretamente, son quienes tendrían la responsabilidad de tomar las medidas oportunas para evitar las consecuencias no deseadas del uso de las TI, dentro del equilibrio fijado por dicho órgano entre rentabilidad y seguridad, y las normas dictadas para este fin.

Pero antes deben estar definidas dichas normas y para ello tiene que haber un adecuado GCTI.

.

[email protected]

iTTi, Instituto de Tendencias en Tecnología e Innovación (España)

* * *

[1] http://www.pwc.es/es/publicaciones/auditoria/assets/global-top-100-march-2015.pdf

[2] NC State and protiviti (2016). Executive Perspectives on Top Risks for 2016

[3] http://www.elconfidencial.com/empresas/2016-03-18/botin-encarga-el-futuro-digital-del-santander-a-larry-summers-mano-derecha-de-clinton_1170732/

[4] http://es.slideshare.net/iTTi_news/el-manifiesto-itti