Autor: Alfredo Enrione – Director del Centro de Gobierno Corporativo y Sociedad

En el mundo hiperconectado (e hiper-expuesto) de hoy, el rol de los directorios ha evolucionado dramáticamente. Entre los riesgos emergentes que deben enfrentar, la ciberseguridad se destaca no solo por su complejidad técnica, sino por su capacidad de generar un impacto devastador en las operaciones, el valor para los accionistas e incluso en industrias enteras.

Según un estudio reciente de ISS, los datos son alarmantes: casi 700 incidentes reportados entre las empresas del índice Russell 3000 en solo dos años, afectando a más del 10% de las compañías. Más preocupante aún, un tercio de estas violaciones se originaron en la cadena de suministro digital, una vulnerabilidad que muchas empresas aún luchan por comprender y gestionar efectivamente.

La interdependencia digital: Un arma de doble filo

La dependencia de tecnologías y proveedores externos ha creado un ecosistema de interdependencias tan intrincado como frágil. Más del 90% de las empresas del Russell 3000 utilizan ciertas plataformas tecnológicas consideradas de alto riesgo. Cuando estas plataformas se ven comprometidas, los efectos pueden ser catastróficos. Un solo proveedor de servicios en la nube, por ejemplo, soporta a más de un tercio de estas empresas, creando un punto de falla único que haría palidecer a cualquier gestor de riesgos.

Mientras tanto, los ataques de ransomware continúan siendo la pesadilla de los directores financieros, con costos que, en grandes empresas, promedian los ¡43.4 millones de dólares por incidente! Los impactos van mucho más allá de lo financiero, erosionando la confianza de los accionistas y el valor de mercado. Los casos de MGM Resorts y UnitedHealth son recordatorios punzantes de cómo las violaciones de datos pueden desencadenar un efecto dominó de interrupciones operativas y pérdidas financieras que ningún directorio puede darse el lujo de ignorar.

El imperativo del liderazgo: Acciones concretas para los directorios

Ante este panorama de riesgo elevado, los directorios deben tomar acciones inmediatas y decisivas. He aquí tres pasos cruciales que ningún directorio puede permitirse postergar:

  1. Elevar la ciberseguridad al estatus de “prioridad estratégica”: Los informes esporádicos y las presentaciones superficiales ya no son suficientes. Los directorios deben sumergirse en los detalles, desafiando suposiciones y exigiendo una comprensión profunda de las vulnerabilidades de la empresa. Es fundamental establecer una supervisión integral que vaya más allá de escuchar pasivamente informes. Los directores deben involucrarse activamente con los oficiales de riesgo de ciberseguridad, cuestionando supuestos y presionando por un entendimiento más profundo de las vulnerabilidades y estrategias de respuesta de la organización.
  2. Dominar el arte de la gestión de riesgos de terceros: Con un tercio de las brechas originándose en relaciones con terceros, los directorios deben insistir en marcos robustos de gestión de riesgos que se extiendan más allá de los proveedores directos, abarcando toda la cadena de suministro digital. Piense por ejemplo en el incidente de CrowdStrike y el impacto en Delta Airlines. Establecer un programa formal de gestión de riesgos de terceros no es negociable; es una necesidad estratégica.
  3. Adoptar un enfoque basado en datos para la gestión de riesgos: Herramientas como el ISS Cyber Risk Score deben convertirse en lecturas obligatorias para los directorios. Estas métricas no solo ofrecen una evaluación objetiva del perfil de riesgo de la empresa, sino que también proporcionan una hoja de ruta para la mejora continua. Los directorios deben exigir actualizaciones periódicas sobre la puntuación de riesgo de ciberseguridad de la empresa y usar esto como base para la toma de decisiones estratégicas. Aquí algunas métricas de ciberseguridad que los directorios deberían comprender, seleccionar y empezar a mirar con regularidad:
  • Tiempo Medio de Detección (MTTD): Mide cuánto tiempo tarda una organización en identificar un incidente de seguridad.
  • Tiempo Medio de Respuesta (MTTR): Registra cuánto tiempo se necesita para contener y mitigar una amenaza una vez detectada.
  • Calificación de Seguridad: Puntuación general de seguridad proporcionada por servicios de terceros basada en datos observables externamente.
  • Gestión de Vulnerabilidades: Incluye métricas como el número de vulnerabilidades conocidas, tiempo promedio de parcheo y porcentaje de sistemas actualizados.
  • Tasa de Incidentes: El número de incidentes de seguridad durante un período determinado.
  • Eventos de Prevención de Pérdida de Datos (DLP): Número de intentos prevenidos de extracción de datos sensibles.
  • Concienciación sobre Seguridad: Métricas sobre tasas de finalización de formación de empleados y rendimiento en pruebas simuladas de phishing.
  • Gestión de Accesos: Seguimiento de métricas como intentos fallidos de inicio de sesión, restablecimientos de contraseñas y cuentas inactivas.
  • Puntuación de Cumplimiento: Cómo cumple la organización con varios estándares regulatorios e industriales (por ejemplo, RGPD, HIPAA, PCI DSS).

Reflexiones finales: El directorio como guardián digital

En última instancia, la verdadera prueba para los directorios no será si pueden prevenir cada ataque, sino cuán resilientes pueden hacer a sus organizaciones. Esto requiere un cambio de mentalidad: de ver la ciberseguridad como un costo a entenderla como una inversión en la continuidad y credibilidad del negocio.

Los directorios que no logren adaptarse a esta nueva realidad se encontrarán navegando en aguas cada vez más turbulentas. Por el contrario, aquellos que abracen su rol como guardianes digitales no solo protegerán a sus organizaciones, sino que también desbloquearán nuevas fuentes de valor en un mundo donde la confianza digital es la nueva moneda de cambio.

La pregunta ya no es si su empresa será blanco de un ataque cibernético, sino cuándo. Y cuando ese día llegue, ¿estará su directorio preparado para liderar o condenado a reaccionar?

Para reflexionar (y aportar en el debate):

  1. ¿Estamos haciendo las preguntas correctas sobre la preparación en ciberseguridad de nuestra empresa? ¿Con qué frecuencia nos involucramos con la administración en los riesgos de ciberseguridad, y tenemos una comprensión clara de nuestras vulnerabilidades más críticas?
  2. ¿Cuál es el plan de nuestro directorio para abordar los riesgos de terceros, particularmente aquellos presentados por proveedores y plataformas tecnológicas? ¿Hemos evaluado el posible impacto de un incidente importante que involucre a uno de nuestros principales proveedores?
  3. ¿Cómo estamos aprovechando las métricas externas de riesgo de ciberseguridad, como el ISS Cyber Risk Score, para guiar nuestra supervisión y esfuerzos de gestión de riesgos? ¿Tenemos una visión clara de cómo se compara nuestra postura de riesgo de ciberseguridad con la de nuestros pares y puntos de referencia de la industria?

El riesgo de ciberseguridad ya no es un problema técnico confinado a los departamentos de TI; es una preocupación estratégica que requiere la atención de cada director. Al adoptar un enfoque proactivo, los directorios no solo pueden proteger a sus organizaciones, sino también salvaguardar el valor para los accionistas en una era donde las amenazas cibernéticas son cada vez más sofisticadas y omnipresentes.

Artículo relacionadosMás del autor