Por Felipe Castro, CISSP. Presidente del Capítulo Chileno de (ISC)²

Es probable que muchos hayan oído hablar del modelo de tres líneas de defensa, en lo que respecta a gestión de riesgos. En resumen, el modelo dice que en una organización hay tres grupos de funciones: las que son dueñas de los riesgos, las que supervisan los riesgos, y las que garantizan de manera independiente que el riesgo esté controlado. Estas se denominan primera, segunda y tercera línea, y las hemos visto en muchas formas en distintas compañías: control, supervisión y auditoría interna; o bien línea, riesgo, contraloría; o tal vez producción, cumplimiento, inspección.

Tengo que admitir que la primera vez que me encontré con este modelo, pensé que se trataba de estructura. Ya no pienso así.

No digo que el modelo esté equivocado –no lo está–, sino que lo relevante es el propósito, y que la estructura es el medio. El modelo ordena las funciones dentro de la organización, agrupando profesionales en especialidades distintas y definiendo cómo se coordinan. La consecuencia, entonces, es la relación entre Auditoría, Riesgos, Operaciones, la Gerencia y la Dirección de una organización. Pero el propósito no es la estructura, sino la gestión del riesgo. Y esta gestión significa tomar riesgos cuando son aceptables, o tratarlos (mitigarlos/transferirlos/evitarlos) cuando no lo son.

¿Quién toma riesgos? Ocasionalmente hablo con ejecutivos que sostienen que la gestión de riesgo significa que el equipo de Línea lleva a cabo su función bajo la protección del equipo de Riesgo, siempre listo para intervenir cuando las cosas van mal. Cuando tengo una conversación así, les explico que quien toma riesgos es la Línea, que es especialista en su área, con la guía de Riesgo, que lo es en riesgos. Uno de los puntos más importantes de la gestión moderna de riesgos es que entrega a cada unidad la autoridad para tomar sus propios riesgos, y también la responsabilidad de controlarlos –dentro de los límites establecidos por el negocio y la unidad de Riesgo. Cada gerencia, cada departamento, cada persona tiene una misión que cumplir y es dueña de sus propios riesgos. Si lo pensamos, no es del todo distinto a la gestión de presupuesto, en que uno tiene la autoridad y la responsabilidad, con la guía de finanzas.

En ningún lugar esto es más visible que en ciber-riesgos. El riesgo informático es un área de Riesgo más joven y menos desarrollada que otras: las prácticas modernas de riesgo de crédito aparecen en el siglo XIX y hoy están muy bien establecidas; las prácticas de ciber-riesgo son… algo más recientes, pero no menos críticas. La digitalización de los negocios, que sólo se ha ido acelerando en la última década, es el evento original que le entrega poderes tremendos a cada persona en la organización: el poder de moverse antes que la competencia, el poder de alcanzar la oficina desde cualquier parte del mundo, el poder para respaldar datos de manera casi inmediata a una nube. Mal usados, estos poderes pueden causar un gran daño: el poder mover toda la información de una organización en el bolsillo; el poder para dejar entrar a un intruso a la compañía; el poder para revelar secretos, el poder de hacernos quebrar. Y la digitalización pone estos ciber-poderes en la punta de los dedos de todos.

No podemos esperar que estos riesgos sean controlados exclusivamente por una unidad de especialistas. La estructura y los expertos deben estar ahí, por cierto, para guiar y medir (2da línea), y para intervenir con herramientas de ciberseguridad o seguridad informática (1ra línea). Pero no se trata de estructura – recordemos que el propósito es gestionar los riesgos, y la primera, la mejor y la más efectiva línea de defensa es necesariamente cada colaborador en la compañía, entendiendo los riesgos que toma cada día al usar un sistema, al abrir un mensaje recibido, al compartir sus datos y los de los demás. En suma, cada persona actuando como dueña de sus actos y de sus riesgos.

Es responsabilidad de Riesgo guiar, medir, informar. Pero en el mundo ciber de hoy, es responsabilidad de cada uno de nosotros tomar riesgos o no hacerlo, porque el trabajo que hacemos cada día se basa cada vez más en un gran poder digital.

Y con un gran poder viene una gran responsabilidad.