Expertos europeos en gestión de riesgos han instado a las organizaciones a crear grupos de tratamiento interno de los ciberriesgos para abordar los riesgos digitales en toda la empresa a medida que evolucionan las amenazas. La recomendación para un modelo de gobernanza del riesgo cibernético aparece en el informe publicado, el 29 de junio, por Ferma y la Confederación Europea de Institutos de Auditoría Interna (Eciia). Ferma y Eciia presentaron su informe en un acto en la sede del Parlamento Europeo, en Bruselas, con representantes de las instituciones de la UE, el Foro Económico Mundial y profesionales de riesgos y auditoría de empresas.

El informe 'Hacia la unión del gobierno corporativo y la ciberseguridad' tiene como objetivo primordial apoyar a las organizaciones europeas en el cumplimiento de sus obligaciones bajo el Reglamento General de Protección de Datos de la UE (GDPR) y la Directiva de Seguridad de la Información en las Redes (NIS). El presidente de Ferma, Jo Willaert, afirma que "como demuestran los recientes ataques, el riesgo cibernético es una cuestión empresarial que afecta a los aspectos estratégicos de los directivos incluyendo la valoración, la reputación y la confianza. La gestión del ciberriesgo se ha convertido, por lo tanto, en una cuestión corporativa que debe reflejarse en el gobierno de la empresa". Añade que "nuestras 2 profesiones están uniendo sus fuerzas en la gestión del riesgo cibernético mediante el intercambio de información sobre el sistema ERM y los controles cibernéticos propios, asegurando que los planes de mitigación sean auditables desde su concepción. Esto es crucial para evaluar su impacto y revisar correctamente la estrategia".

El informe pide la creación de grupos que gobiernen los ciberriesgos, presididos por el gerente de riesgos, para operar en todas las funciones dentro de la empresa. El papel de los grupos es determinar el coste potencial de los riesgos cibernéticos en toda la organización, incluyendo escenarios de riesgo catastrófico y proponiendo medidas de mitigación al Comité de Riesgos y a los órganos de Alta Dirección. Además de los gerentes de riesgos, el grupo se compondrá de representantes de todas las funciones clave a nivel empresarial involucrados en el riesgo digital, en particular las tecnologías de la información (IT), RRHH, comunicaciones, finanzas, responsable de protección de datos (DPO) y responsable de la seguridad de la información (CISO).

Jo Willaer explica que "esta propuesta de modelo de gobernanza de ciberriesgos constituye una innovadora manera para que las organizaciones aborden la ciberseguridad. Permitirá demostrar a la junta directiva que los ciberriesgos se gestionan mediante un análisis racional y documentado de los riesgos a lo largo de toda la organización".