Llámenos
La mayoría de las organizaciones no están recibiendo el apoyo que necesitan de sus jefes ejecutivos en materia de ciberseguridad. Nuestra investigación revela cuatro áreas de interés para los Directores Generales que buscan cambiar el juego.
Si usted es un director general hoy en día, su organización encaja en una de estas dos categorías: las empresas que han sufrido un ataque cibernético grave, y las empresas que no lo han hecho pero que están preocupadas por ser las siguientes. Las filas de las primeras y la vulnerabilidad de las segundas han crecido con la pandemia.
Como reacción a las respuestas de COVID-19 y a los cambios de comportamiento subsiguientes, muchas organizaciones redujeron a meses lo que habrían sido años de transformación digital, lo que podría modificar su perfil de riesgo de ciberseguridad. Los ciberataques aumentaron en todo el mundo a medida que las personas migraban a Internet, lo que desbordó a los ya de por sí limitados departamentos de TI y afectó a millones de nuevos usuarios de tecnología de trabajo a distancia. Algunas organizaciones, ante la interrupción de la cadena de suministro, recurrieron a proveedores alternativos cuyas prácticas de ciberseguridad subóptimas abrieron nuevas vías de ataque.
Las principales partes interesadas de una empresa -accionistas, clientes y empleados- han llegado a equiparar cualquier violación de la seguridad con una violación de la confianza, y crear y mantener la confianza es la principal tarea del director general. Para superar esta prueba de liderazgo en ciberseguridad, los directores ejecutivos deben desempeñar un papel de liderazgo activo, comprometido y continuo. Deben ser un socio de confianza de su Director de Seguridad de la Información (CISO por sus siglas en ingles), su Director de Informática (CIO por sus siglas en ingles) y su director de tecnología (CTO por sus siglas en ingles), al tiempo que garantizan que todos los miembros de la organización sean responsables, impulsen un valor tangible y utilicen la confianza y el propósito para enmarcar la misión del ciber riesgo. El problema: pocos lo hacen realmente.
Como parte de la Encuesta Global de Confianza Digital 2022, hemos preguntado a casi 700 Directores Generales y a otros 2.900 ejecutivos de la Dirección Ejecutiva cómo se involucra el Director General en los asuntos de ciber riesgo de sus empresas. Los Directores Generales se ven a sí mismos como «comprometidos» y «estratégicos», participando en las discusiones sobre ciberseguridad y las implicaciones de privacidad de las fusiones y adquisiciones, así como en las conversaciones relativas a los cambios en los modelos y estrategias operativas. Pero otros ven una historia muy diferente: los encuestados que no son Directores Generales dicen que ven a sus Directores Generales como más reactivos que proactivos, más propensos a involucrarse en asuntos de ciber riesgo y privacidad sólo después de una vulneración de la empresa o cuando son contactados por los reguladores, no antes. Casi dos tercios (63%) de los que no son Directores Generales dicen que su organización no recibe el tipo de apoyo que necesita de su Director General.
Sin embargo, hay Directores Generales que han dado la vuelta a este problema. Un pequeño número de organizaciones líderes en nuestra encuesta (10%) han creado un plan para una empresa segura reduciendo la complejidad corporativa y estableciendo un marco para la responsabilidad compartida de la ciberseguridad, con el Director General desempeñando un papel de liderazgo clave. Basándonos en nuestro análisis de estas empresas, vemos un enfoque común de la ciberseguridad encarnado por cuatro Ps: principios, personas, priorización y percepción. Los Directores Generales que adoptan las cuatro Ps están convirtiendo lo que históricamente han sido pasivos en ventajas para ser llevadas al mercado, tejiéndolas en sus estrategias de negocio y operativas y haciendo del ciber riesgo una característica fundamental de su estrategia y propósito.
La primera prioridad de los Directores Generales es conectar la misión de la organización con la seguridad de los datos, los activos y las personas. Los Directores Generales pueden hacerlo articulando un principio de base inequívoco que establezca la seguridad y la privacidad como objetivos operativos e imperativos empresariales.
Aflac, el mayor proveedor de seguros complementarios en el lugar de trabajo de Estados Unidos, ha situado la ciberseguridad en el centro de lo que son y lo que hacen como empresa. «Somos una de las pocas compañías de seguros que nos medimos por la rapidez con la que pagamos», afirma el CISO de Aflac, Tim Callahan. «Nuestros directores de operaciones están obligados a pagar nuestros siniestros con rapidez. Dan Amos, nuestro Presidente y Director General, nunca ha perdido de vista quiénes son nuestros clientes, y cuánta confianza tienen en nosotros, y cómo estamos ahí para ellos en sus momentos de necesidad. Esto se extiende a la protección de su información. Entiende lo que la falta de ciber riesgo puede hacer a nuestra marca, a nuestros clientes y a nuestra reputación. Si al Director General no le apasiona eso, el problema es mayor»
La capacidad de atraer y retener a los mejores talentos es una de las tareas más importantes para los Directores Generales a la hora de establecer su organización como líder en ciberseguridad. El director ejecutivo, como la persona que tiene una visión de toda la empresa, debe entender las necesidades cibernéticas más críticas del negocio y tener una forma de fomentar y medir el desarrollo del talento para garantizar la entrada de empleados con una mentalidad de construir y transformar -en lugar de sólo mantener- lo que ya existe.