Las juntas directivas necesitan un enfoque más activo de la ciberseguridad.

Con demasiada frecuencia, los consejos de administración sobrestiman la preparación de su empresa en materia de ciberseguridad y lo bien que ellos, como directores, la están dirigiendo. Considere los resultados de una encuesta reciente a 151 ejecutivos que realizamos para comprender mejor cómo se ocupan los consejos de la ciberseguridad. Mientras que el 71% de los ejecutivos consideraba que la financiación cibernética era adecuada (49%) o alta (21%), sólo el 39% calificó la "comprensión de las oportunidades y riesgos de ciberseguridad" de su consejo como proactiva, y sólo el 31% seleccionó "innovador" o "adoptador temprano" como el mejor reflejo de la preparación cibernética de su organización.

La brecha es reveladora. En términos generales, revela una desconexión mayor en los consejos de administración: Demasiados ven su papel como asesores de estrategia designados para impulsar el crecimiento en lugar de verse a sí mismos como administradores que dan prioridad a una gobernanza que garantice la estabilidad y viabilidad del negocio a largo plazo. Pero la administración es exactamente el enfoque correcto, en particular cuando se trata de la ciberseguridad. Dichos directores asumen un papel activo a la hora de animar a los equipos de liderazgo a anticipar mejor los riesgos de la era digital, articular las necesidades de recursos, probar los planes de respuesta y minimizar la interrupción del negocio. Estas son las acciones necesarias para asegurar la ciber resiliencia y la continuidad del negocio.

3 errores que cometen las juntas directivas en torno a la ciberseguridad.

Las consecuencias de quedarse corto son significativas. Los ciberataques invasivos se aprovechan de sistemas anticuados. Las defensas inadecuadas y la inercia de respuesta y a menudo crean costosos resultados estratégicos, de reputación y operativos que podrían haberse minimizado, si no evitado. Sin embargo, los nuevos ataques a grandes empresas tienen éxito todo el tiempo.

¿Cómo pueden los consejos de administración cumplir mejor su papel de guardianes? Abordar tres errores subsanables encierra el mayor potencial para fortificar las capacidades cibernéticas.

Subestimar las consecuencias empresariales de la inacción.

Muchos directores se sienten naturalmente cómodos discutiendo la visión estratégica, el crecimiento, los logros recientes y los objetivos futuros. Pero la creación de ciber resiliencia empieza por detallar las desventajas de la inacción, y demasiados consejos de administración pasan por alto las consecuencias de una financiación insuficiente de la ciberseguridad.

En el contexto de los posibles acontecimientos cibernéticos, el "coste de la inacción" enmarca muchas preguntas inquietantes e incómodas. ¿Conocen los directores, ejecutivos y empleados el valor de un día de negocio? ¿Cuánta disrupción operativa a corto plazo puede tolerar una organización antes de que descarrile la estrategia? ¿Qué partes de la organización no están "preparadas" para un ciberataque? ¿Qué debería haber preguntado, conocido y prevenido antes la junta directiva?

Las mejores respuestas empiezan por replantearse el modo en que la junta aborda el gasto en ciberseguridad y cómo esas decisiones pueden crear consecuencias empresariales imprevistas en el futuro. Cuando se ve sólo como un coste, es probable que la ciberseguridad se perciba y se descarte como una sobrecarga de cumplimiento y algo relegado a los gestores operativos.

Una visión de gestión, por otro lado, reconoce el valor y la relevancia empresarial de la ciberseguridad y que puede haber consecuencias estratégicas significativas, tanto positivas como negativas, en las decisiones de financiación y supervisión, lo que la eleva a una cuestión razonable a nivel de junta directiva.

Existen numerosos casos bien publicitados de cierres cibernéticos que han costado millones en pérdida de ingresos, reparación, honorarios legales y multas reglamentarias. Muchos fueron causados probablemente por algún tipo de inacción. Por ejemplo, la filial adquirida de United Health, Change Healthcare , no implantó la autenticación multifactor común, y un pirateo informático expuso más de unos 190 millones de historiales de pacientes, lo que desencadenó investigaciones reguladoras y causó más de 2.500 millones de dólares en costes de reparación hasta la fecha. En 2023, un ciberataque contra Clorox durante una revisión de IT de todo el sistema de cinco años y 500 millones de dólares la obligó a revertir la producción a procesos manuales durante casi dos meses , lo que provocó retrasos, interrupciones de productos, pérdida de ingresos, márgenes más bajos y una espiral en el precio de las acciones. La empresa reconoció que "el impacto del ataque de ciberseguridad contrarrestó con creces los beneficios de la fijación de precios, el ahorro de costes y la optimización de la cadena de suministro."

Acumular demasiada deuda técnica.

La deuda técnica es otra fuente significativa, acechante e incomprendida de riesgo cibernético evitable y desventaja competitiva. Las áreas comunes de deuda técnica incluyen infraestructuras anticuadas, mantenimiento diferido no abordado, software caducado, actualizaciones de sistemas atrasadas y parches que faltan. Estos puntos de riesgo encubiertos pueden provocar a menudo vulnerabilidades innecesarias, tiempos de inactividad imprevistos y pérdidas de productividad. En muchos casos, cuando los ciberdelincuentes explotan las debilidades de la deuda técnica, a las empresas no preparadas no les queda más remedio que congelar las operaciones.

Los consejos de administración pueden abordar la deuda técnica ejerciendo un "enfoque de diligencia debida" bastante similar a las metodologías que utilizarían los socios potenciales de fusiones o adquisiciones para cuantificar las perspectivas de crecimiento del negocio, revelar los riesgos subyacentes y estimar los flujos de caja futuros. Dos pruebas de diligencia debida en fusiones y adquisiciones pueden ayudar a descubrir y reducir la deuda técnica: la evaluación del deterioro de los activos y la estimación de los pasivos contingentes.

En 2022, un ciberataque obligó a Tenet Health a interrumpir temporalmente la actividad en varios centros de cuidados intensivos, ya que la infraestructura y los sistemas heredados de sus consultas médicas más pequeñas carecían de redundancias, salvaguardas y procesos de respaldo clave. La interrupción de la actividad retrasó los ingresos, las visitas y la facturación de los pacientes y redujo los beneficios del segundo trimestre en aproximadamente 100 millones de dólares.

Del mismo modo, las estimaciones de pasivos contingentes son útiles para comprender cómo las vulnerabilidades de ciberseguridad no abordadas y el exceso de confianza en la subcontratación podrían dar lugar a importantes costes de reparación y posibles demandas judiciales. En 2024, unos hackers aprovecharon irónicamente los servidores de seguridad Snowflake para acceder a los datos de los consumidores de más de 150 empresas muy conocidas, entre ellas Live Nation, Neiman Marcus y el Banco Santander. En el caso de AT&T, la brecha expuso casi todo el historial de llamadas y mensajes de texto de sus 100 millones de clientes de determinados meses. Se espera que las reparaciones sean costosas y largas y, en todos los casos, probablemente se podrían haber evitado con una diligencia debida en materia de ciberseguridad suficiente y procesable.

No aceptar las malas noticias como una oportunidad de mejora empresarial.

Es propio de la naturaleza humana que los directivos resten importancia o, en ocasiones, oculten las malas noticias. Incluso la información sobre un "cuasi accidente" cibernético puede hacer que un ejecutivo experimentado dude antes de llevarla a la junta. Pocos quieren compartir o ser responsables de errores, pasos en falso o fracasos.

Una mentalidad de administración mitiga ese comportamiento fomentando una cultura tanto de "lo que debe salir bien" como de "lo que podría salir mal", alentando un amplio intercambio de información sobre riesgos y erradicando el desplazamiento de culpas en la organización.

En 2021, First American Financial sufrió una brecha cibernética que expuso casi 800 millones de imágenes de datos hipotecarios. Las divulgaciones públicas de informes internos de seguridad IT de la empresa no resueltos precedieron al conocimiento de los directores, dejando al consejo con pocas respuestas. En este caso histórico, la Comisión de Bolsa y Valores advirtió con severidad: "Como resultado de los deficientes controles de divulgación de First American, la alta dirección desconocía por completo esta vulnerabilidad y la incapacidad de la empresa para remediarla. Los emisores deben asegurarse de que la información importante para los inversores se comunique en los escalafones corporativos a los responsables de la divulgación."

Las juntas directivas comprometidas reconocen que, aunque el riesgo cibernético no puede eliminarse, las vulnerabilidades y las infracciones pueden abordarse mejor antes y más rápido si los directores "saben lo que no saben". Específicamente, el pensamiento de la dirección promueve la franqueza oportuna y una comunicación más clara, ambas críticas para gestionar el riesgo de la ciberseguridad fortificando las defensas y las respuestas.

Un acontecimiento cibernético no es el momento de empezar a compartir malas noticias. Más bien, los administradores buscan y aceptan rutinariamente los retos no resueltos como oportunidades para mejorar el negocio, endurecer los procesos, reducir el riesgo y forjar la confianza con los responsables operativos. Este diálogo abierto y asertivo refuerza directamente la planificación, la preparación y la eficacia de la respuesta a incidentes cibernéticos.

De lo contrario, "buscar respuestas" y "capear el temporal" se convierten en respuestas predeterminadas a las crisis cibernéticas. Los administradores, por el contrario, elaboran con calma planes creíbles de preparación "qué pasaría si..." mediante evaluaciones independientes y conversaciones difíciles mucho antes de que se produzcan los contratiempos.

5 pasos para ser mejores administradores.

Aunque el dinámico entorno empresarial actual está repleto de riesgos cibernéticos que escapan al control de los consejos de administración, una mentalidad de administración puede reducir y prevenir significativamente los errores no forzados evitables. He aquí cinco pasos que los directores pueden dar para promover y perfeccionar la administración:

Convierte la administración en el centro de las discusiones y decisiones cibernéticas del consejo.

Sencillamente, es más probable que se dé prioridad a la administración cuando ésta enmarca y sustenta abierta y rutinariamente las deliberaciones del consejo. Hacerlo ayuda a los directores a plantear preguntas de ciberseguridad de "gran perspectiva", pensar de forma proactiva, actuar de forma preventiva y cumplir con las obligaciones de supervisión estratégica.

Anima a los equipos cibernéticos a pensar ampliamente sobre las consecuencias de la inacción.

Los consejos de administración deben esperar que los líderes empresariales aborden las consecuencias estratégicas, financieras, operativas y de reputación de las ciber amenazas a la hora de diseñar, desarrollar e implantar sistemas y soluciones tecnológicas. Esa visión holística eleva las discusiones técnicas sobre ciberseguridad del personal a discusiones que ayudan a los directores a tomar decisiones informadas sobre la gestión de riesgos.

Lleva a cabo una diligencia debida frecuente para comprender mejor y reducir la deuda técnica.

La diligencia debida operativiza el pensamiento de la dirección al identificar, aclarar y evaluar los riesgos cibernéticos y tecnológicos de "mantenimiento diferido" antes de que pongan en peligro la estrategia, impidan las actividades de la cadena de valor, diluyan los resultados financieros y frustren a las partes interesadas. También da la vuelta a las cuestiones clave de financiación cibernética para centrarse en las consecuencias para el negocio en lugar de en los límites de gasto. Las evaluaciones frecuentes ayudan además a los consejos que se plantean fusiones y adquisiciones a reducir los obstáculos de la deuda técnica que perjudican las valoraciones de los acuerdos, dificultan la integración empresarial y ponen en peligro el crecimiento.

Considera las ventajas estratégicas además del coste de las inversiones en ciberseguridad.

La gestión ayuda a reposicionar el gasto en ciberseguridad como una fuente de ventaja competitiva. Las empresas bien gestionadas se benefician enormemente de una buena reputación, de la confianza de los clientes, de la retención de los mejores talentos, de las relaciones sólidas con los proveedores y de las asociaciones de financiación. A medida que las defensas digitales alejan las ciber amenazas, también fortalecen esos diferenciadores intangibles clave.

Reformula las actualizaciones cibernéticas de la junta directiva como oportunidades de aprendizaje.

Incluso las organizaciones con los mejores programas de ciberseguridad pueden sentirse abrumadas al intentar seguir el ritmo de las amenazas emergentes y en rápida evolución. Dada esa incertidumbre inherente y la necesidad crítica de ciber resiliencia, las juntas directivas tienen una gran oportunidad de establecer culturas que despersonalicen las deficiencias de rendimiento y los retos empresariales y fomenten el aprendizaje. Hacerlo anima a los empleados a plantear posibles problemas y ayuda a la junta y a la organización a anticiparse mejor a las necesidades de ciberseguridad.

- - -------------------------------------------------- - -

Una mentalidad de administración es fundamental para las juntas directivas que desean reducir el riesgo de ciberseguridad, aumentar la resistencia y establecer una base realista para un crecimiento alcanzable y sostenible. Tal perspectiva promueve un pensamiento significativo y acciones sustantivas que elevan la ciberseguridad efectiva de un ejercicio de cumplimiento y controles a un pilar de ventaja estratégica duradera. En consecuencia, una administración sólida puede impulsar el éxito de la era digital y garantizar el futuro de toda la organización.

Fuente: Harvard Business Review, por Noah P. Barsky y Kean Pearlson

El Dr. Noah P. Barsky es profesor asociado de contabilidad en programas ejecutivos y de posgrado de la Escuela de Negocios de la Universidad de Villanova. Su investigación actual se centra en el gobierno corporativo, el riesgo empresarial y la medición del rendimiento en la era digital.

Keri Pearlson es directora ejecutiva del consorcio de investigación sobre ciberseguridad en MIT Sloan (CAMS). Su investigación se centra en cuestiones organizativas, estratégicas, de gestión y liderazgo en ciberseguridad. Actualmente, se centra en el papel de la junta directiva en ciberseguridad.