Seguridad en América | Post

La gestión de riesgos corporativa es una práctica que muchas de las organizaciones han venido desarrollando como parte inherente de su dinámica de negocio. Para ello, el responsable empresarial denominado como “CRO – Chief Risk Officer” o responsable ejecutivo de riesgos define un marco de trabajo con el fin de establecer el conjunto general de riesgos a monitorear y configurar un mapa de seguimiento y vigilancia con el fin de mantener informado al directorio sobre el avance en el tratamiento de cada uno de ellos (Koenig, 2020).

Muchos ejecutivos de primer nivel al ver el mapa general de riesgos corporativo se pueden sentir tranquilos porque “sienten” que conocen los riesgos, otros, pueden pasar el ejercicio como algo de rutina donde se presentan cosas que ellos conocen y que la organización de mantener monitoreados y aquellos que toman nota e interrogan a los responsables sobre las estrategias de seguimiento y control de los mismos. Estas tres escenas se repiten en muchas juntas directivas y comités de riesgos empresariales como un ejercicio de rendición de cuentas de cada una de las áreas responsables.

Esta dinámica empresarial reitera la vista de islas o silos que configura un riesgo corporativo sensible que es compartimentalizar el entendimiento de los riesgos, sin considerar las conexiones o acoplamientos que existen entre cada uno de ellos. Ignorar esta realidad en la lectura de los riesgos corporativos es mantener una vista desarticulada de los componentes de la dinámica del negocio y crear zonas grises donde se incuben nuevas amenazas y posibles eventos adversos, que al materializarse, generan mayores inciertos, muchas preguntas y pocas respuestas.

El ejercicio de lectura segmentada de los riesgos empresariales afecta la manera como se establecen las estrategias para sus tratamientos. En este sentido, la comprensión de los riesgos cibernéticos concluye con una revisión tecnológica, generalmente asociada con los riesgos de tecnología de información, con lo cual la ciberseguridad termina adscrita como un tema operativo que debe ser solucionado por los de tecnología. Asumir esta posición, es ignorar la vista sistémica e integrada que tienen los ciberriesgos, creando puntos ciegos en las iniciativas corporativas que pueden terminar afectando a sus diferentes grupos de interés (Cano, 2021).

Leer el riesgo cibernético de forma aislada, segmentada y desintegrada de la realidad empresarial, es equivalente a tratar de comprender la dinámica de los ecosistemas digitales actuales desde la vista de uno de sus participantes. El riesgo cibernético es un riesgo empresarial que busca encontrar oportunidades y retos para hacer de la organización un organismo vivo y resiliente, es un espacio de construcción de propuestas que utiliza el incierto como insumo para hacer la diferencia y crear la confianza requerida con los clientes (Capra, 1998).

Superar la vista de silos o islas en la gestión del riesgo cibernético y en general de los riesgos corporativos, es construir escenarios para motivar la transparencia, la comunicación, la simetría y la cooperación entre los diferentes responsables y ver la organización como un todo que converge, y no como un grupo de áreas especializadas con responsables a cargo.

Para lograr este ejercicio de construcción colectiva es necesario declarar y revelar los diferentes perfiles de riesgo, preocupaciones y propuestas sobre el lienzo de los retos corporativos para desde allí, encontrar nuevos lugares comunes que conecten los puntos inconexos y así, movilizar esfuerzos conjuntos que cierren las brechas o muestren las zonas grises que permanecen ocultas en medio de las dinámicas vigentes de las empresas.

ADMINISTRACIÓN DE LOS RIESGOS

Una estrategia para liberar esos bloqueos y salir de la postura cómoda de la inacción, implica crear zonas psicológicamente seguras donde cada una de las partes pueda opinar y poner sobre la mesa sus retos y propuestas, sin temores a represalias o sanciones sociales (Edmondson, 2018). Espacios de diálogo abierto y constructivo que conecte intereses, alivie incertidumbres, aporten evidencias y habiliten cambios, donde sea posible crear ventanas de aprendizaje donde la única beneficiada sea la organización (Berger, 2020).

La gestión de riesgos corporativos debe partir de la liberación de los egos corporativos de las áreas y sus ejecutivos, generalmente asistidas por los indicadores (que frecuentemente motivan competencia y rivalidad), para acortar las distancias empresariales que permitan superar el paradigma cartesiano y mecanicista de la especialización y comprensión de las partes, y movilizar los esfuerzos para comprender que atender el reto de los eventos inesperados es como pilotear un navío, contar con una carta de navegación en medio de la totalidad del océano, sabiendo que deberá corregir el curso cada cierto tiempo (Capra, 1998).

De la misma forma el riesgo cibernético deberá ser revisado y leído desde la dinámica de las relaciones y procesos de la empresa, manifestado en las experiencias de las personas que usan sus propuestas innovadoras, no sólo desde la vista operativa del uso, sino de las expectativas y posibilidades que se pueden concretar. En este escenario, la ciberseguridad se traduce como un habilitador de la promesa de valor de la empresa comoquiera que acompaña a los clientes desde la construcción colectiva de la confianza digital, no inscrita en la estabilidad de una plataforma, sino en la inestabilidad y cambio de un proceso.

Lo anterior implica establecer un modelo de vigilancia basada en riesgos (Deloitte, 2021) que cubra no sólo los riesgos conocidos y definidos en las buenas prácticas, sino que incluya aquellos latentes y emergentes, con el fin de construir una postura resiliente de la organización, que vaya más allá de la atención y control de un incidente. Esto es, reconocer los activos estratégicos de alto valor, ubicar a las personas como el centro de la estrategia, conectar con las tecnologías disruptivas y emergentes, asegurar la coordinación y cooperación con sus terceros de confianza (cadena de suministro) y tener un cuerpo directivo alfabetizado y educado sobre los retos del entorno cibernético y la inevitabilidad de la falla (Zongo, 2018).

Entender que el nuevo entorno digital es salir de la zona de la mitigación de los riesgos, para entrar en el apetito al riesgo, lo que significa superar el paradigma del riesgo cero y seguridad 100%. Un cambio de postura que demanda derrotar la lista de los riesgos conocidos para plantear escenarios alternativos asociados con posibilidades más que probabilidades.

La gestión de riesgos evoluciona cuando construye conocimiento y destruye la zona cómoda de los ciertos. De la misma forma, debe asistir la gestión del riesgo cibernético al directorio de las empresas, como un revelador de tendencias, para desarrollar las capacidades necesarias que permitan absorber la materialización de los riesgos aceptados y asegurar las expectativas de sus grupos de interés cuando las cosas no salen como estaban planeadas (Zongo, 2018).

Al final del ejercicio, todas las piezas del rompecabezas de la gestión de riesgos no deben estar alineadas, pues sólo en el reto de reconocer de forma permanente los cambios y tensiones en el entorno, es posible conectar nuevos puntos en el horizonte para darle forma a la estrategia del tratamiento de los riesgos corporativos. Lo anterior significa que, si tenemos un mapa de riesgos ajustado y alineado, habrá que quebrarlo todo el tiempo para tratar de reconstruirlo permanentemente desde la inevitabilidad de la falla.