Por qué las juntas directivas no se ocupan de las ciberamenazas
por J. Yo-Jud Cheng, Boris Groysberg
Uno de los mayores desafíos a los que se enfrentan las juntas directivas hoy en día es para el que los directores se sienten menos preparados: la ciberseguridad. La revelación de Yahoo en diciembre de lo que podría ser la mayor violación de datos de la historia no fue un incidente aislado. De hecho, The Guardian denominó 2016 como «el año del hackeo», y las ciberamenazas son cada vez más comunes en todos los sectores.
En trabajos anteriores descubrimos que la ciberseguridad estaba entre las mejores cuestión política para los directores corporativos, solo por detrás de la economía y el entorno regulatorio. Los directores reconocen que la ciberseguridad es un problema mundial urgente, pero no logran establecer la conexión entre la omnipresencia de las ciberamenazas y las vulnerabilidades de sus empresas. Cuando les pedimos que describieran sus niveles de preocupación y preparación para los diversos riesgos para sus empresas, la ciberseguridad pasó a un segundo plano ante la preocupación por los riesgos regulatorios y reputacionales, que los directores estaban más preparados para afrontar. Solo el 38% de los directores dijeron estar muy preocupados por los riesgos de ciberseguridad, y una proporción aún menor dijo que estaba preparado para estos riesgos. En palabras de un director: «La ciberseguridad es un tema importante, pero hay un amplio espectro de riesgos en este negocio, por lo que es un factor clave entre varios».
Cuando los directores evaluaron los factores que podían limitar la capacidad de su empresa para alcanzar sus objetivos estratégicos, las cuestiones de ciberseguridad se vieron ensombrecidas por preocupaciones más importantes, como la atracción y retención de los mejores talentos, el entorno regulador y las amenazas competitivas mundiales.
Estas conclusiones confirman que los directores simplemente no están internalizando el daño extenso y a largo plazo que un ataque podría causar a sus organizaciones. ¿Por qué la desconexión entre los puntos de vista global y empresarial? Mediante una encuesta exhaustiva a más de 5000 directores de más de 60 países, realizada en asociación con Fundación de Mujeres Directoras Corporativas, Spencer Stuart, y la investigadora independiente Deborah Bell, descubrimos dos razones principales: las juntas directivas carecen de los procesos y la experiencia que necesitan para detectar, evaluar y abordar las ciberamenazas.
Procesos inadecuados. La mayoría de las juntas directivas tienen procesos sólidos para abordar sus responsabilidades más apremiantes, como la planificación financiera y el cumplimiento. Pero cuando preguntamos específicamente sobre los procesos relacionados con cuestiones de ciberseguridad, como los debates periódicos sobre los ciberriesgos (con o sin especialistas en ciberseguridad) y las revisiones gerenciales de los planes de contingencia ante una violación de datos, los directores dieron una puntuación baja a sus consejos de administración. Solo el 24% calificó esos procesos como «por encima de la media» o «excelentes». De hecho, entre los 23 procesos por los que preguntamos, los directores colocaron los relacionados con la ciberseguridad en último lugar.
La fortaleza de estos procesos también varió según el sector: los consejos de administración de los sectores de TI y telecomunicaciones lideraron el campo, con un 42% que informó de medidas sólidas; en los sectores de materiales e industrial, menos de uno de cada cinco directores podría decir lo mismo. En la industria de la salud, un objetivo común de las filtraciones de datos y que ha demostrado ser particularmente vulnerable, el 79% de los encuestados dijo que sus organizaciones carecen de procesos de ciberseguridad sólidos.
Falta de experiencia. Cuando preguntamos a los directores sobre las funciones del consejo de administración con las que luchan, los problemas de riesgo y seguridad fueron el desafío que más mencionaron. El principal problema, dijeron, era que simplemente no tienen la experiencia. Un director señaló «la falta de comprensión del tema y la falta de voluntad para dejar espacio a quienes tienen nuevas ideas y una comprensión del tema». Otro dijo: «Las juntas directivas tienen demasiada responsabilidad como para supervisar áreas en las que no tienen mucha experiencia, por ejemplo, la ciberseguridad».
Una verdadera amenaza estratégica
Las juntas directivas descuidan los problemas de ciberseguridad por su cuenta y riesgo. Un estudio de IBM estimó que el coste medio de una violación de datos ronda 4 millones de dólares. Cisco, en un estudio reciente, señaló que las empresas objetivo sufren pérdidas sustanciales de ingresos, clientes y oportunidades de negocio . Está claro que estos ataques no pueden considerarse una amenaza externa abstracta. Las juntas directivas tienen que aceptar los hechos y ajustar su forma de pensar: las amenazas a la ciberseguridad son universales y los miembros de la junta tienen que asumir estos riesgos. El tema debería discutirse con regularidad en todas las salas de juntas, independientemente del sector, la región o el tamaño de la empresa.
Este artículo aparece también en:
Ciberseguridad: la información que necesita de Harvard Business Review
Tecnología y operaciones Libro
22.95
Las juntas pueden tomar medidas concretas para priorizar las cuestiones de ciberseguridad. Un director sugirió que los directores empezaran por «hacer preguntas y determinar si existen los procesos adecuados». Los consejos pueden hacer que la dirección ejecutiva rinda cuentas de la evaluación de los riesgos actuales de ciberseguridad y del mantenimiento de los planes de respuesta haciendo de las reuniones informativas sobre ciberseguridad un punto habitual del orden del día de las reuniones del consejo. Pueden abogar por invertir en la seguridad e infraestructura de los datos dentro de sus organizaciones y animar a la dirección ejecutiva a contratar a expertos externos si es necesario (los consejos también pueden contratar a sus propios expertos, como consultores o como miembros de pleno derecho del consejo). Este tipo de inversiones deben considerarse vitales para las funciones de gestión de riesgos y la estrategia a largo plazo de la organización, y deben revisarse de forma continua. Como nos dijo un director: «A la luz de las amenazas, este tema debe examinarse de una manera que vaya más allá del riesgo considerado por el comité de auditoría».
El alcance de las amenazas a la ciberseguridad no hará más que crecer. Al ser más proactivos en los temas de ciberseguridad, los directores pueden desempeñar un papel esencial a la hora de salvaguardar la estabilidad de su organización y apoyar el crecimiento futuro.
Artículos Relacionados
La IA es genial en las tareas rutinarias. He aquí por qué los consejos de administración deberían resistirse a utilizarla.
Investigación: Cuando el esfuerzo adicional le hace empeorar en su trabajo
A todos nos ha pasado: después de intentar proactivamente agilizar un proceso en el trabajo, se siente mentalmente agotado y menos capaz de realizar bien otras tareas. Pero, ¿tomar la iniciativa para mejorar las tareas de su trabajo le hizo realmente peor en otras actividades al final del día? Un nuevo estudio de trabajadores franceses ha encontrado pruebas contundentes de que cuanto más intentan los trabajadores mejorar las tareas, peor es su rendimiento mental a la hora de cerrar. Esto tiene implicaciones sobre cómo las empresas pueden apoyar mejor a sus equipos para que tengan lo que necesitan para ser proactivos sin fatigarse mentalmente.
En tiempos inciertos, hágase estas preguntas antes de tomar una decisión
En medio de la inestabilidad geopolítica, las conmociones climáticas, la disrupción de la IA, etc., los líderes de hoy en día no navegan por las crisis ocasionales, sino que operan en un estado de perma-crisis.