Diogo Ogando, responsable técnico D&O de Hiscox
Pocos son los directivos, y más si hablamos de pymes, que comprenden los riesgos a los que se exponen en la función de sus actividades. Y la realidad nos demuestra lo contrario: crece el número de reclamaciones dirigidas directamente a directivos y administradores de compañías por parte de clientes, proveedores, empleados, accionistas o entidades reguladoras, que ponen en peligro su patrimonio personal o incluso la viabilidad de la empresa que dirigen.
La labor empresarial exige tomar decisiones importantes en el seno de una empresa y esto supone una gran responsabilidad. Hoy, un error en una decisión estratégica, una falta de adecuación a determinada legislación, una política de empleo interna no equitativa, la simple aprobación de las cuentas anuales, son situaciones que pueden suponer un riesgo para este perfil profesional. A esta realidad debemos añadir un área que crece exponencialmente y con ella las probabilidades de sufrir un incidente, hablamos de los riesgos ciber.
La ciberseguridad entró en las empresas a través del departamento de TI. Pronto pudimos ver cómo se transformaba en un área transversal que afectaba a los diferentes departamentos de las compañías, desde marketing a atención al cliente, así la gestión de los riesgos ciber comenzó a estar presente en todas las decisiones que se tomaban en la empresa. Y tal es la dimensión que ha tomado la ciberseguridad dentro de las compañías que se ha integrado dentro de la estrategia general y por lo tanto hoy depende, en muchos casos, del comité de dirección. La duda que deben plantearse ahora administradores y directivos es hasta qué punto las decisiones que tomen en su negocio, y que impliquen directa o indirectamente la gestión o exposición a riesgos ciber, pueden ser potencialmente reclamables por un tercero.
De momento no existe respuesta ni casuística en torno a esta posibilidad, pero Gartner se ha atrevido a ponerle fecha. Según la consultora, en 2024 la mayoría de los directores generales serán responsabilizados personalmente por los incidentes ciber que causen daños o perjuicios a terceros, traspasándose el umbral de la responsabilidad corporativa de estos riesgos.
El nuevo escenario exige a directores de cualquier compañía, independientemente de su tamaño y sector, asumir la ciberseguridad como una responsabilidad. Para ello deben desarrollar una campaña de concienciación y sensibilización hacia esta realidad de toda la empresa, para que la exposición a estos riesgos sea tenida en cuenta en las decisiones que tomen todas y cada una de las personas que forman parte de la compañía. Además, desde el comité directivo deben ofrecerse los recursos necesarios para que la estrategia de ciberseguridad sea lo suficientemente robusta; esto implica dedicar inversión en tecnología, profesionales especializados, formación para empleados, o alcanzar acuerdos con proveedores externos que ofrezcan servicios de seguridad capaces de prevenir, detener o recuperarse de un incidente ciber.
En la actualidad, el sector asegurador dispone de pólizas especializadas tanto en riesgos para Directivos y Administradores (D&O – directors and officers), como para riesgos ciber. Y está en la mano del comité directivo suscribir ambas coberturas para poder desarrollar su actividad con la mayor tranquilidad. El futuro indica que ambos riesgos pueden confluir en unos pocos años y, de ser así, el sector asegurador responderá con soluciones adaptadas a esa nueva realidad.
