Por qué las juntas directivas no se ocupan de las ciberamenazas
por J. Yo-Jud Cheng, Boris Groysberg
Uno de los mayores desafíos a los que se enfrentan las juntas directivas hoy en día es para el que los directores se sienten menos preparados: la ciberseguridad. La revelación de Yahoo en diciembre de lo que podría ser la mayor violación de datos de la historia no fue un incidente aislado. De hecho, The Guardian denominó 2016 como «el año del hackeo», y las ciberamenazas son cada vez más comunes en todos los sectores.
En trabajos anteriores descubrimos que la ciberseguridad estaba entre las mejores cuestión política para los directores corporativos, solo por detrás de la economía y el entorno regulatorio. Los directores reconocen que la ciberseguridad es un problema mundial urgente, pero no logran establecer la conexión entre la omnipresencia de las ciberamenazas y las vulnerabilidades de sus empresas. Cuando les pedimos que describieran sus niveles de preocupación y preparación para los diversos riesgos para sus empresas, la ciberseguridad pasó a un segundo plano ante la preocupación por los riesgos regulatorios y reputacionales, que los directores estaban más preparados para afrontar. Solo el 38% de los directores dijeron estar muy preocupados por los riesgos de ciberseguridad, y una proporción aún menor dijo que estaba preparado para estos riesgos. En palabras de un director: «La ciberseguridad es un tema importante, pero hay un amplio espectro de riesgos en este negocio, por lo que es un factor clave entre varios».
Cuando los directores evaluaron los factores que podían limitar la capacidad de su empresa para alcanzar sus objetivos estratégicos, las cuestiones de ciberseguridad se vieron ensombrecidas por preocupaciones más importantes, como la atracción y retención de los mejores talentos, el entorno regulador y las amenazas competitivas mundiales.
Estas conclusiones confirman que los directores simplemente no están internalizando el daño extenso y a largo plazo que un ataque podría causar a sus organizaciones. ¿Por qué la desconexión entre los puntos de vista global y empresarial? Mediante una encuesta exhaustiva a más de 5000 directores de más de 60 países, realizada en asociación con Fundación de Mujeres Directoras Corporativas, Spencer Stuart, y la investigadora independiente Deborah Bell, descubrimos dos razones principales: las juntas directivas carecen de los procesos y la experiencia que necesitan para detectar, evaluar y abordar las ciberamenazas.
Procesos inadecuados. La mayoría de las juntas directivas tienen procesos sólidos para abordar sus responsabilidades más apremiantes, como la planificación financiera y el cumplimiento. Pero cuando preguntamos específicamente sobre los procesos relacionados con cuestiones de ciberseguridad, como los debates periódicos sobre los ciberriesgos (con o sin especialistas en ciberseguridad) y las revisiones gerenciales de los planes de contingencia ante una violación de datos, los directores dieron una puntuación baja a sus consejos de administración. Solo el 24% calificó esos procesos como «por encima de la media» o «excelentes». De hecho, entre los 23 procesos por los que preguntamos, los directores colocaron los relacionados con la ciberseguridad en último lugar.
La fortaleza de estos procesos también varió según el sector: los consejos de administración de los sectores de TI y telecomunicaciones lideraron el campo, con un 42% que informó de medidas sólidas; en los sectores de materiales e industrial, menos de uno de cada cinco directores podría decir lo mismo. En la industria de la salud, un objetivo común de las filtraciones de datos y que ha demostrado ser particularmente vulnerable, el 79% de los encuestados dijo que sus organizaciones carecen de procesos de ciberseguridad sólidos.
Falta de experiencia. Cuando preguntamos a los directores sobre las funciones del consejo de administración con las que luchan, los problemas de riesgo y seguridad fueron el desafío que más mencionaron. El principal problema, dijeron, era que simplemente no tienen la experiencia. Un director señaló «la falta de comprensión del tema y la falta de voluntad para dejar espacio a quienes tienen nuevas ideas y una comprensión del tema». Otro dijo: «Las juntas directivas tienen demasiada responsabilidad como para supervisar áreas en las que no tienen mucha experiencia, por ejemplo, la ciberseguridad».
Una verdadera amenaza estratégica
Las juntas directivas descuidan los problemas de ciberseguridad por su cuenta y riesgo. Un estudio de IBM estimó que el coste medio de una violación de datos ronda 4 millones de dólares. Cisco, en un estudio reciente, señaló que las empresas objetivo sufren pérdidas sustanciales de ingresos, clientes y oportunidades de negocio . Está claro que estos ataques no pueden considerarse una amenaza externa abstracta. Las juntas directivas tienen que aceptar los hechos y ajustar su forma de pensar: las amenazas a la ciberseguridad son universales y los miembros de la junta tienen que asumir estos riesgos. El tema debería discutirse con regularidad en todas las salas de juntas, independientemente del sector, la región o el tamaño de la empresa.
Este artículo aparece también en:
Ciberseguridad: la información que necesita de Harvard Business Review
Tecnología y operaciones Libro
22.95
Las juntas pueden tomar medidas concretas para priorizar las cuestiones de ciberseguridad. Un director sugirió que los directores empezaran por «hacer preguntas y determinar si existen los procesos adecuados». Los consejos pueden hacer que la dirección ejecutiva rinda cuentas de la evaluación de los riesgos actuales de ciberseguridad y del mantenimiento de los planes de respuesta haciendo de las reuniones informativas sobre ciberseguridad un punto habitual del orden del día de las reuniones del consejo. Pueden abogar por invertir en la seguridad e infraestructura de los datos dentro de sus organizaciones y animar a la dirección ejecutiva a contratar a expertos externos si es necesario (los consejos también pueden contratar a sus propios expertos, como consultores o como miembros de pleno derecho del consejo). Este tipo de inversiones deben considerarse vitales para las funciones de gestión de riesgos y la estrategia a largo plazo de la organización, y deben revisarse de forma continua. Como nos dijo un director: «A la luz de las amenazas, este tema debe examinarse de una manera que vaya más allá del riesgo considerado por el comité de auditoría».
El alcance de las amenazas a la ciberseguridad no hará más que crecer. Al ser más proactivos en los temas de ciberseguridad, los directores pueden desempeñar un papel esencial a la hora de salvaguardar la estabilidad de su organización y apoyar el crecimiento futuro.
Artículos Relacionados
Investigación: La IA generativa hace que la gente sea más productiva y esté menos motivada
Arreglar los chatbots requiere psicología, no tecnología
Los chatbots dotados de IA se están convirtiendo en el nuevo estándar para la gestión de consultas, reclamaciones y devoluciones de productos, pero los clientes se alejan de las interacciones con los chatbots sintiéndose decepcionados. La mayoría de las empresas intentan solucionar este problema diseñando mejores modelos de IA en sus chatbots, pensando que si los modelos suenan lo suficientemente humanos, el problema acabará desapareciendo. Pero esta suposición es errónea. Esto se debe a que el problema de fondo no es tecnológico. Es psicológico: Hay que engatusar a la gente para que vea a los chatbots como un medio positivo de interacción. Los autores han analizado recientemente las últimas investigaciones sobre chatbots e interacciones IA-humanos, y en este artículo presentan seis acciones probadas que puede llevar a cabo al desplegar su chatbot de IA para impulsar la satisfacción, la percepción positiva de la marca y las ventas.
Investigación: ¿Está penalizando a sus mejores empleados por desconectar?
Para combatir el creciente desgaste del personal, muchas empresas han defendido programas de bienestar y han fomentado un enfoque renovado en el equilibrio entre la vida laboral y personal. Pero un nuevo estudio descubrió que incluso cuando los líderes reconocían que desvincularse del trabajo aumenta el bienestar de los empleados y mejora su rendimiento laboral, los directivos seguían penalizando a los empleados que adoptaban estos comportamientos cuando optaban a un ascenso o estaban siendo considerados para un nuevo puesto. Basándose en sus conclusiones, los investigadores ofrecen sugerencias para ayudar a las empresas a crear políticas y construir una cultura que proteja los límites de los trabajadores, evite el agotamiento y recompense el trabajo fuerte.