El papel del Chief Risk Officer (CRO) no es nuevo, ya que apareció a principios de los años noventa, pero debido a los procesos de transformación digital, está llamado a adquirir más importancia en un futuro próximo, especialmente en las grandes organizaciones financieras.
Para entender los nuevos retos a los que se enfrentará el CRO, necesitamos recordar que este papel es responsable de la gestión del riesgo empresarial (ERM) en toda la organización y que la percepción del riesgo es algo multifacético: está relacionado tanto con el negocio como con la empresa, pero también tiene un amplio alcance en cuanto a la gestión de riesgos relacionados con el cumplimiento, financieros, operativos, de reputación y estratégicos.
Sin embargo, es el dominio de los riesgos relacionados con la cibernética el que impulsará la evolución del CRO y, a medida que la cibernética pase de una perspectiva combativa a una perspectiva empresarial, su rol evolucionará para gestionar el riesgo desde una perspectiva holística.
Históricamente, el CRO es un puesto que trabaja con el CEO y el CFO, pero en el futuro, trabajará cada vez más con el CIO y a su vez con el CISO y el Chief Compliance Officer.
Históricamente, el CRO es un puesto que trabaja con el CEO y el CFO, pero en el futuro, trabajará cada vez más con el CIO
Las transformaciones digitales que tantas organizaciones han emprendido, o están emprendiendo, están introduciendo la automatización en el ADN central de los procesos empresariales, aumentando así la naturaleza digital de la gestión de riesgos.
Para armonizar eficientemente estas nuevas áreas de gestión de riesgos con otras más tradicionales, el CRO necesita fortalecer algunas capacidades básicas, particularmente en el ámbito tecnológico, lo que requerirá un nivel adecuado de abstracción para que la información sea consumible.
En primer lugar, ganar visibilidad es crucial porque el panorama digital es cada vez más complejo, lo que se está experimentando en áreas como la adopción de la nube, la movilidad empresarial y la IoT, por ejemplo.
En segundo lugar, para entender la exposición al riesgo, descubrir cómo reducirlo y aprender cuál es un riesgo residual aceptable, el CRO necesita tener información dinámica y actualizada que proporcione la mejor precisión contextual posible. Esto permitirá al CRO distinguir la naturaleza del riesgo, ya sea debido a una mala configuración y a un comportamiento inusual de los usuarios, o bien debido a vulnerabilidades del software que los atacantes pueden usar, y con frecuencia lo hacen, fácilmente.
En el primer caso, el riesgo se refiere generalmente a la falta de cumplimiento y a la posibilidad de fuga de datos, mientras que el segundo se refiere a la proliferación actual de ataques selectivos y sofisticados.
Estos matices deben ser cuidadosamente evaluados por el CRO, para entender si el riesgo es aceptable tanto desde el punto de vista del negocio como desde el punto de vista de la empresa – y esta información debe ser dinámica, para permitir la evaluación del riesgo según pasa el tiempo.
Dada la naturaleza efímera y la agresividad con que se expanden y contraen los entornos digitales, es necesario potenciar una tercera capacidad, que es la escala. Creo que uno de los retos más difíciles a los que se enfrentará el CRO en el futuro será su capacidad para hacer frente a la velocidad y agilidad de la transformación digital.
Los marcos de cumplimiento, tales como PCI-DSS, GDPR y NIST, requieren una auditoría constante para evaluar la exposición al riesgo y permitir que el CRO decida qué es aceptable y qué parte del riesgo puede ser transferida a un tercero a través de flujos de trabajo adecuados.
Los ataques sofisticados, las infracciones inevitables y las filtraciones de datos pueden tener un enorme impacto en el riesgo reputacional y financiero. Aunque el trabajo del CRO es minimizar el riesgo potencial en la empresa, el riesgo, como factor, no puede ser eliminado por completo.
Sin embargo, para minimizar el riesgo, la cuarta capacidad que debe reforzarse es la inmediatez o, más específicamente, la capacidad de interrogar la información y recibir respuestas rápidas. Esto se reduce a tener una única fuente de verdad para los datos con la capacidad de laminarlos, trocearlos, y agregarlos para construir esta inmediatez.
Por último, pero no por ello menos importante, es necesaria la capacidad de contar con flujos de información orquestados de forma transparente. Ya he mencionado cómo la información y el contexto asumirán un papel aún más relevante para el CRO del futuro. Esta capacidad se basa en las tecnologías y plataformas en las que las organizaciones han invertido durante las últimas décadas para conseguir una buena posición de seguridad en la que se pueda entender el riesgo.
Ahora es urgente derribar las barreras de comunicación entre silos, tales como TI, seguridad y cumplimiento, interconectando estas plataformas y tecnologías en la medida de lo posible para lograr el consumo más fácil de los datos que se necesitan para componer una única fuente de verdad.
Aunque los aspectos técnicos de la interconexión siguen siendo competencia del CIO/CISO, el CRO debe estar informado de los requisitos y del potencial que estos avances ofrecen si se ponen en práctica adecuadamente.
En resumen, veo la evolución del papel del CRO hacia el de un e-CRO, en el que el conocimiento de la situación del ciberespacio lo capacita como facilitador para dar forma y evaluar el modelo de riesgo.
Basado en una única fuente de verdad, el e-CRO aprovechará la visibilidad, la precisión, la escala, la inmediatez y la orquestación transparente para gestionar el riesgo a la vez que afronta los retos de velocidad y agilidad que desencadena la transformación digital.
