Gobierno de tecnologías, información y ciberseguridad: el motor para que existan “de verdad” en la organización

Recientemente en un evento cuya temática eran las tecnologías e información (T&I en su enfoque moderno, que reemplaza al viejo “TI”), un panel de ciberseguridad atrajo a mucha más gente de lo previsto, dejando a varios interesados afuera. Por otro lado, vemos que los medios dedican cada vez más espacio a expertos para entender mejor qué ventajas y qué cuidados debemos tener con la aplicación de la inteligencia artificial generativa (por ejemplo, ChatGPT).

Lo anterior refleja que las T&I y la ciberseguridad ya son “trending topic” y preocupación en el afán de crear valor y proteger los activos al mismo tiempo, afectando a organismos públicos y privados por igual. En particular, para los organismos públicos resulta desafiante implementar estructuras de gobierno de T&I y de ciberseguridad de manera efectiva, a diferencia de lo que ocurre en el sector privado. Recordemos que la estructura organizativa de los incisos de la administración central y de otras organizaciones públicas, suelen definirse en leyes orgánicas o decretos reglamentarios, donde se definen las estructuras de gobierno, los directores que la componen, cómo se designan y el perfil de cada uno de los que los conforman. Tal como lo establecen ciertos marcos de referencia como COBIT, normas como ISO 38500 e incluso el propio Marco de Ciberseguridad de AGESIC, —diseñado para ser aplicado especialmente en organismos públicos— existe una dificultad para incorporar roles y responsabilidades específicas para este fin.

Comentemos brevemente para qué necesitamos de un gobierno de T&I y de seguridad de la información efectivos: más allá del cumplimiento con los marcos de referencia o normas citadas, el contar con estructuras, políticas y procedimientos efectivos para gobernar las T&I y seguridad de la información son el ingrediente secreto para que éstas realmente se integren en la organización. En este sentido, los responsables de definir la estrategia y visión a mediano y largo plazo, de asignar los recursos para los accionables que definen la estrategia, y de monitorizar mediante indicadores cómo se va avanzando hacia ese horizonte trazado son, precisamente, los directorios. Y es aquí donde se integran las T&I y la seguridad de la información con los objetivos estratégicos de la organización, donde confluye lo que la tecnología e información puede aportar, y también donde se presenta la preocupación por proteger los activos de información más valiosos y las consecuencias de no hacerlo. Por ello, es desde este lugar que se definen los recursos en términos de presupuesto asignados para lograr los objetivos estratégicos asociados a T&I y seguridad de la información.

Lo que ocurre en muchos organismos públicos es que tanto las T&I como la ciberseguridad suelen elevarse como preocupaciones desde la gerencia hacia el directorio, encontrándose este último sin ningún representante o rol dedicado a atender estas dimensiones de la estrategia, lo que hace que no se prioricen estos aspectos en forma adecuada, y por ende, se limite la capacidad de acción por no contar con un presupuesto y estructura adecuados. Para que la ciberseguridad o la aplicación efectiva de tecnologías se encuentre debidamente amalgamada en el funcionamiento de la organización, estos temas tienen que estar encima de la mesa del directorio, y deberían ser tratados en conjunto con la estrategia del organismo en cuestión. Sin presupuesto o estructura, por más que se presente la preocupación o interés del cuerpo gerencial por esta temática, será imposible avanzar en estos aspectos.

Considerando la problemática planteada en este tipo de organizaciones, ¿qué alternativas se podrían considerar? A continuación mencionamos algunas de ellas:

1. Establecer comités asesores compuestos por expertos en gobierno de tecnología, gobierno y ciberseguridad, trabajando en forma interna o externa a la organización. De esta forma, podrán brindar orientación y asesoramiento en la definición de la estrategia, en los aspectos estratégicos de T&I y seguridad de la información, en el establecimiento de buenas prácticas y medición del desempeño.

2. Crear una unidad de Gobierno de T&I centralizada, responsable del desarrollo de políticas, estándares y procedimientos de T&I, supervisando la implementación de proyectos y garantizando la alineación estratégica de T&I con los objetivos organizacionales.

3. Asignar las responsabilidades de CIO (Chief Information Officer), CTO (Chief Technology Officer) o CISO (Chief Information Security Officer) a algún miembro o en general al consejo ejecutivo o directorio. Por ejemplo, éste podría tener la responsabilidad de aprobar y supervisar las iniciativas de T&I y de seguridad de la información más importantes.

4. Invertir en capacitación y sensibilización al directorio, equipo gerencial y personal clave de la organización.

5. Colaborar y obtener apoyo de organismos externos, como por ejemplo AGESIC u organismos de la academia, que puedan proporcionar asistencia y orientación en la implementación de buenas prácticas (en este caso, el uso del Marco de Ciberseguridad de AGESIC).

En resumen, la implementación exitosa del Gobierno de Tecnologías, Información, Seguridad de la Información y Ciberseguridad requiere de recursos (personas, procesos y tecnología) alineados a una estrategia definida por la organización. La clave para ello es contar con un directorio sensibilizado, con conocimiento de las ventajas competitivas y de los riesgos asociados al uso de las T&I.