ENTENDIENDO EL RIESGO DEL ELEMENTO HUMANO

JOHN BAUDOUIN KENNEDY
DIRECTOR GENERAL, WILLIS TOWERS WATSON MÉXICO

El capital más significativo es nuestra gente, el personal es el activo más importante, el costo del capital humano no es un gasto sino una inversión; prácticamente todos los Directores Generales, de Finanzas o de Recursos Humanos (RH) están no sólo familiarizados, sino convencidos de estas afirmaciones.

Para muchos de nuestros clientes y en nuestra compañía es una filosofía; no obstante, es fundamental considerar diversas perspectivas, por lo que entender el riesgo vinculado al capital humano se vuelve imperativo.

Tomemos como punto de partida los Índices de Riesgo por Sector, desarrollados a lo largo del último año por Willis Towers Watson. Cada edición analiza la severidad, el impacto y la facilidad para gestionar los 50 riesgos principales de un grupo específico de industrias. La información contenida en dichos reportes se basa en entrevistas cualitativas y cuantitativas con las empresas líderes. Los hallazgos generales nos permiten destacar la macrotendencia del riesgo vinculado al factor humano: Competencia Internacional por el Talento y Especialización —ésta ha ido tomando cada vez mayor fuerza hasta ubicarse entre las primeras cinco macrotendencias de riesgos—. En cada macrotendencia y de acuerdo a la industria se listan riesgos puntuales que las compañías deben afrontar y mitigar.

La premisa que establece la carencia de talento especializado como el único riesgo vinculado al recurso humano es imprecisa, las corporaciones empiezan a observar con mayor detalle elementos relevantes como los planes de remuneración, la falta de diversidad y equidad o la carencia de habilidades específicas vinculadas a su industria. Hoy en día las corporaciones están trabajando a través de sus equipos de RH para mitigar los riesgos vinculados tradicionalmente a las personas (ver gráfico 1).

Sin embargo, no podemos perder de vista que de cara a una creciente integración de la tecnología para garantizar la operación del negocio, el elemento humano todavía se encuentra presente en prácticamente todos los procesos. Esto, aunado al cada vez mayor número de ataques cibernéticos que han enfrentado miles de corporaciones, nos obliga a reflexionar sobre una posible conexión entre el recurso humano y los ciberataques.

EL 66% DE LAS VIOLACIONES CIBERNÉTICAS SON CAUSADAS POR NEGLIGENCIA Y ACTOS MALICIOSOS.

La realidad es que el avance tecnológico es imparable y cambiante, empezamos a hablar del Internet de las cosas y la automatización de procesos a través de inteligencia artificial, de las impresoras 3D que podrían empezar a cambiar la forma de hacer negocios para muchas industrias, hablamos cotidianamente de riesgos relacionados a regulación, fallo de los sistemas, competidores emergentes y la nueva manera de hacer negocios… sin embargo, poco se menciona el riesgo de la tecnología vinculada a la gente.

EL RIESGO CIBERNÉTICO EN EL RECURSO HUMANO

Uno de los ataques cibernéticos más mencionados en los últimos tiempos se habilitó a través de phishing e-mails, en los que los empleados dieron click a un vínculo dentro del correo que habilitó el ransomware (software malicioso) dejando vulnerables a más de 200,000 computadoras en 150 países.

Pero, ¿qué rol juega la cultura corporativa para prevenir este tipo de incidentes? El 66% de las violaciones cibernéticas son causadas por negligencia y actos maliciosos, que van desde la pérdida de laptops o divulgación accidental de información, hasta acciones de empleados deshonestos (ver gráfico 2).

Para el 85% de las organizaciones que participaron en la Encuesta de Riesgo Cibernético, todo lo relacionado a seguridad se ha convertido en una prioridad; hoy sólo 8% de las empresas participantes cuentan con una cultura de riesgo implementada, pero se espera que crezca hasta 10 veces en los próximos tres años, lo cual nos permite destacar que las organizaciones ya han empezado a identificar el papel de los empleados en la construcción de una cultura resiliente respecto al riesgo cibernético.

El elemento humano es un factor de riesgo en la violación de seguridad de los datos, no queda la menor duda, y por tal motivo es papel de las organizaciones realizar una óptima gestión del riesgo. El reto comienza cuando las organizaciones no logran desarrollar el Cyber IQ necesario para salvaguardar la información y gestionar los datos adecuadamente. Es preocupante que el tiempo promedio que tarda una corporación en darse cuenta de que hubo una violación a sus sistemas es de 206 días. Si bien el elemento humano es la fuente principal por la que se facilitan las violaciones cibernéticas, también es cierto que una efectiva gestión del riesgo comienza con su gente, ya que el 33% del resto de los incidentes puede vincularse a factores humanos adicionales como falta de talento, déficit de habilidades necesarias para la función o el nivel de compromiso de los empleados.

Considerando lo anterior y con el claro objetivo de crear una cultura de empleados ciberinteligentes, se torna fundamental incluir este tema en la agenda de RH. Históricamente los riesgos de carácter cibernéticos se han gestionado únicamente a través de los equipos de IT, pero una de las posiciones necesarias —y ausentes— para crear una cultura adversa a las amenazas cibernéticas es el Director de Recursos Humanos. La gestión eficiente de ese tipo de riesgos es un trabajo en equipo, y aún más importante, al ser un riesgo que inicia y acaba en las personas, el papel de RH es fundamental.

CREANDO UNA CULTURA DE “CIBERRESILIENCIA”

Tanto las amenazas como las violaciones cibernéticas que el mundo corporativo y los sistemas gubernamentales han enfrentado hasta hoy, son sólo el comienzo. Tenemos que reconocer que lo que enfrentamos en términos de riesgo cibernético no se parece en lo absoluto a ningún otro tipo de riesgo, y por ello debemos crear respuestas adecuadas.

La solución no debe vincularse a una única función, es un tema de negocios, no sólo de IT o de legal o de RH. El involucramiento y trabajo en equipo de líderes y funciones es fundamental si queremos hacer frente al problema de manera efectiva.

La cultura relacionada al riesgo cibernético está impactando a todas las corporaciones y a todas las industrias, las empresas necesitan empezar a preguntarse:
  • ¿Sabe cuál es el alcance e impacto de un ataque cibernético en su empresa?
  • ¿Cuenta con la gente correcta con las habilidades necesarias, el entrenamiento adecuado y la experiencia requerida para alinear los objetivos de su compañía con la variable de seguridad cibernética?
  • ¿Realiza comunicación constante y entrenamientos para que todo su personal entienda la importancia de su rol para facilitar o impedir un ataque cibernético?

Sin un enfoque holístico en la gestión del riesgo cibernético, en 2020 muchas corporaciones enfrentarán un impacto que podría poner en duda su continuidad en el mercado, razón por la que la defensa cibernética debe dejar de ser considerada discrecional y volverse parte del ADN de empresas y empleados.


Fundada en 2016 de la fusión de Henry Willis & Company (1841) y R. Watson & Sons (1878), Willis Towers Watson se especializa en riesgo corporativo y corretaje; capital humano y beneficios; e inversiones, riesgo y reaseguro.
www.willistowerswatson.com

Comparte en tus Redes Sociales:
Facebook
Twitter
LinkedIn