Consejo de Administración

Por qué las placas no se ocupan de las ciberamenazas

Astraed

5 min read

feb17-22-488148160

Uno de los mayores retos a los que se enfrentan los consejos de administración en la actualidad es el que los directores se sienten menos preparados: la ciberseguridad. Divulgación de Yahoo en diciembre de lo que podría ser la mayor brecha de datos en la historia no fue un incidente aislado. De hecho, el Guardian bautizó 2016 el«año del hackeo» y las ciberamenazas son cada vez más comunes en todos los sectores.

En trabajos anteriores encontramos que la ciberseguridad se clasificó como uno de los principales cuestión política para los directores corporativos, arrastrando sólo la economía y el entorno regulatorio. Los directores reconocen la ciberseguridad como un problema global urgente, pero no logran establecer la conexión entre la omnipresencia de las ciberamenazas y las vulnerabilidades de sus empresas. Cuando les pedimos que describieran sus niveles de preocupación y preparación para diversos riesgos para sus empresas, la ciberseguridad tomó un segundo plano a las preocupaciones sobre los riesgos regulatorios y de reputación, que los directores estaban más preparados para enfrentar. Sólo el 38% de los directores informaron tener un alto nivel de preocupación por los riesgos de ciberseguridad, y una proporción aún menor dijo que estaban preparados para estos riesgos. En palabras de un director, «la ciberseguridad es un gran problema, pero hay un amplio espectro de riesgos en este negocio, por lo que es un factor clave entre varios».

W170214_CHENG_BOARDCONCERN

 

Cuando los directores evaluaron los factores que podrían limitar la capacidad de su empresa para alcanzar sus objetivos estratégicos, los problemas de ciberseguridad se vieron eclipsados por preocupaciones más destacadas como atraer y retener a los mejores talentos, el entorno regulatorio y las amenazas competitivas globales.

W170214_CHENG_FEWBOARD

 

Estos hallazgos confirman que los directores simplemente no están internalizando el daño extenso y a largo plazo que un ataque podría infligir a sus organizaciones. ¿Por qué la desconexión entre las vistas globales y empresariales? Utilizando una encuesta exhaustiva, de más de 5.000 directores en más de 60 países, realizada en colaboración con Fundación WomenCorporateDirectors, Spencer Stuart y la investigadora independiente Deborah Bell, encontramos dos razones principales: las juntas carecen de los procesos y la experiencia que necesitan para detectar, evaluar y abordar las ciberamenazas.

Procesos inadecuados. La mayoría de las juntas tienen procesos sólidos para abordar sus responsabilidades más acuciantes, como la planificación financiera y el cumplimiento de normas. Pero cuando preguntamos específicamente sobre procesos relacionados con temas de ciberseguridad, tales como discusiones regulares sobre riesgos cibernéticos (con o sin especialistas en ciberseguridad) y revisiones de gestión de planes de contingencia para una violación de datos, los directores dieron a sus juntas bajas calificaciones. Solo el 24% calificó esos procesos como «superiores a la media» o «excelentes». De hecho, entre los 23 procesos que preguntamos, los directores clasificaron los relacionados con la ciberseguridad en último lugar.

W170214_CHENG_BOARDPROCESSES

 

La fortaleza de estos procesos también varió según la industria: las juntas directivas de los sectores de IT y telecomunicaciones lideraron el campo, con un 42% que reportó fuertes medidas; en los sectores de materiales e industriales menos de uno de cada cinco directores podría decir lo mismo. En la industria del cuidado de la salud, un objetivo común para las violaciones de datos, y uno que ha demostrado ser particularmente vulnerables, el 79% de los encuestados dijo que sus organizaciones carecen de sólidos procesos de ciberseguridad.

Falta de experiencia. Cuando preguntamos a los directores acerca de los deberes de la junta con los que luchan, los problemas de riesgo y seguridad fueron el desafío que más mencionaron. El problema principal, dijeron, era que simplemente no tienen la experiencia. Un director señaló «una falta de comprensión del tema y una falta de voluntad para dejar espacio a quienes tienen nuevas ideas y comprensión del tema». Otro dijo: «Hay demasiada responsabilidad en las juntas directivas para supervisar áreas en las que no tienen mucha experiencia, es decir, la ciberseguridad».

 

W170214_CHENG_CYBERSECURITYIS

 

Una amenaza estratégica real

Las juntas descuidan los problemas de ciberseguridad bajo su riesgo. Un estudio de IBM estimó que el costo promedio de una violación de datos es alrededor de 4 millones de dólares. Cisco, en un estudio reciente, señaló que las empresas afectadas sufren pérdidas sustanciales de ingresos, clientes y oportunidades de negocio. Claramente, estos ataques no pueden ser vistos como una amenaza externa abstracta. Los consejos tienen que aceptar los hechos y ajustar su pensamiento: las amenazas de ciberseguridad son universales, y los miembros de la junta tienen que hacerse cargo de estos riesgos. El tema debe ser discutido regularmente en todas las salas de juntas, independientemente de la industria, región o tamaño de la empresa.

Este artículo también aparece en:

Ciberseguridad: las ideas que necesita de Harvard Business Review

Tecnología y Operaciones Libro22.95Añadir a la cesta

Las juntas pueden tomar medidas concretas para dar prioridad a las cuestiones de seguridad cibernética. Un director sugirió que los directores comenzaran por «hacer preguntas y determinar si existen procesos apropiados». Las juntas directivas pueden responsabilizar a los directivos ejecutivos de la evaluación de los riesgos actuales de ciberseguridad y el mantenimiento de los planes de respuesta haciendo de las sesiones informativas sobre ciberseguridad un tema regular de la agenda en las reuniones de la junta. Pueden abogar por inversiones en seguridad e infraestructura de datos dentro de sus organizaciones, y alentar a la dirección ejecutiva a contratar expertos externos si es necesario (las juntas también pueden contratar a sus propios expertos, ya sea como consultores o como miembros de pleno derecho de la junta). Estos tipos de inversiones deben considerarse vitales para las funciones de gestión de riesgos y la estrategia a largo plazo de la organización, y deben revisarse continuamente. Como nos dijo un director: «A la luz de las amenazas, esta cuestión debe examinarse de una manera que sea más amplia que un riesgo considerado por el comité de auditoría».

El alcance de las amenazas a la ciberseguridad sólo seguirá creciendo. Al ser más proactivos respecto a los problemas de ciberseguridad, los directores pueden desempeñar un papel esencial en la salvaguardia de la estabilidad de su organización y en el apoyo al crecimiento futuro.

J. Yo-Jud Cheng Boris Groysberg Via HBR.org

Read more