A medida que innovaciones tecnológicas como la computación en la nube, el Internet de las cosas, la automatización de procesos robóticos y el análisis predictivo se integran en las organizaciones, las hace cada vez más susceptibles a las amenazas cibernéticas. Las empresas Fortune 1000, por ejemplo, tienen un 25% de probabilidad de sufrir una vulneración, y el 10% de ellas afrontarán pérdidas multimillonarias. En las empresas más pequeñas, el 60% quedará fuera del negocio a los seis meses de un ciberataque grave. Esto significa que gobernar y evaluar los riesgos cibernéticos se convierte en un requisito previo para un desempeño empresarial exitoso, y que los inversores necesitan saber cuán vulnerables son realmente las empresas.
Esta necesidad de transparencia ha sido reconocida por los reguladores y facilitada por las nuevas normas de ciberseguridad. Actualmente, la Comisión de Bolsa y Seguridad de EE.UU. (SEC) ha aumentado su aplicación para garantizar que las empresas mantengan controles de ciberseguridad adecuados y divulguen adecuadamente los riesgos e incidentes relacionados con la ciberseguridad.
Desafortunadamente, nuestra investigación muestra que el riesgo cibernético no es fácil de entender. Las organizaciones a menudo parecen subestimar las pérdidas financieras relacionadas con las amenazas cibernéticas. Estos pueden incluir:
-
- Efectos inmediatos, como interrupciones comerciales, disminuciones en la producción y retrasos en el lanzamiento de productos, así como costos adicionales para recuperarse de un ataque.
- Consecuencias a largo plazo, como daños a la competitividad de la empresa y pérdida de reputación, así como pérdida de ingresos por robo de propiedad intelectual, robo de datos o uso no autorizado de información patentada.
- También existen riesgos legales que resultan de descuidar, por ejemplo, las obligaciones de resiliencia cibernética en productos y servicios, informes de violaciones, salvaguardia de datos confidenciales o protección de infraestructura crítica.
Sin embargo, no hay un camino sencillo a seguir. Invertir excesivamente en gestión de riesgos cibernéticos o en estrategias de gestión de riesgos que no se alinean con las necesidades del negocio puede tener impactos igualmente negativos. Este artículo explica la importancia de las nuevas reglas de ciberseguridad de la SEC y aborda los cuatro temas esenciales que los inversores deben discutir con la junta para evaluar la efectividad a largo plazo de la estrategia de gestión de riesgos cibernéticos de sus empresas.
Transparencia en la gobernanza del riesgo cibernético
Ser transparente en materia de ciberseguridad no es sólo una buena práctica, sino que ahora es un requisito para las empresas estadounidenses. Las nuevas reglas de ciberseguridad de la SEC “exigen que las empresas que cotizan en bolsa revelen sus capacidades de gobernanza de la ciberseguridad, incluida la supervisión del riesgo cibernético por parte de la junta, una descripción del papel de la administración en la evaluación y gestión de los riesgos cibernéticos, la experiencia relevante de dicha administración y el papel de la administración en la implementación de la políticas, procedimientos y estrategias de ciberseguridad de la empresa”.
Este tipo de divulgación permite a los inversores evaluar la atención de los ejecutivos y líderes empresariales a los riesgos cibernéticos. Los consejos de administración deben comprender cómo estas amenazas pueden causar daños materiales. Por ejemplo, el ataque de ransomware a Hanesbrands interrumpió el cumplimiento de pedidos durante tres semanas, provocando una pérdida de ingresos de 100 millones de dólares. Otro ejemplo es la interrupción de TI causada por un ciberataque en Tenet Healthcare, que también resultó en una pérdida de ingresos de 100 millones de dólares. Y la violación de Kaseya VSA fue el resultado de un software operativo inseguro que finalmente permitió el aplazamiento de una oferta pública inicial que buscaba recaudar 875 millones de dólares.
Según las nuevas pautas de la SEC, las empresas también deben informar dentro de los cuatro días posteriores a los incidentes que se consideren «materiales». La determinación de la “materialidad” está influenciada por el impacto del incidente en el negocio, las operaciones y las condiciones financieras de la empresa. Este informe obligatorio de incidentes permite a los inversores evaluar la eficacia de las políticas de riesgo cibernético de la empresa y puede proporcionar aprendizajes para futuras mejoras en la gestión del riesgo cibernético. Y existe una importante oportunidad de mejora, ya que se espera que el costo de los delitos cibernéticos (incluido el costo de recuperación y remediación) aumente a 10,5 billones de dólares por año para 2025 .
Cuatro áreas críticas que los inversores deberían esperar que aborden las juntas directivas
Estas nuevas reglas de ciberseguridad deben considerarse un punto de partida para el diálogo sobre la gobernanza del riesgo cibernético. Para reforzar su ciberseguridad y mantenerse a la vanguardia, las empresas deben anticiparse conscientemente a los cambios en el entorno interno y externo y priorizar sus esfuerzos en materia de riesgos cibernéticos en consecuencia.
El riesgo cibernético puede ser difícil de entender. Los miembros de la junta ya enfrentan muchos desafíos estratégicos diferentes, y cuando se enfrentan a problemas relacionados con el riesgo cibernético, como priorizar el crecimiento del mercado de productos frente a su seguridad, la dependencia crítica de los proveedores para la prestación segura de servicios, lidiar con aspectos «atroces» de los ataques de ransomware, o siendo víctimas de tensiones cibernéticas geopolíticas: pueden verse abrumados por la complejidad y la naturaleza dinámica de los problemas. En última instancia, esto puede causar puntos ciegos relacionados con la ciberseguridad, impactando la efectividad de las decisiones previstas e incluso generando consecuencias no deseadas, lo que puede conducir a lo que es la “trampa de la capacidad”, un deterioro continuo de los procesos organizacionales esenciales. Una característica esencial de esta trampa es que sus efectos permanecen ocultos a la dirección durante mucho tiempo, hasta que es demasiado tarde. La trampa de la capacidad ocurre con más frecuencia de lo que imaginan muchos tomadores de decisiones.
Para evitar esta trampa, las empresas deben centrarse en la eficacia a largo plazo de sus decisiones estratégicas en cuatro áreas:
1. Alinear la gestión del riesgo cibernético con las necesidades del negocio.
Las juntas directivas tienen muchos desafíos corporativos que enfrentar y cantidades limitadas de financiamiento disponibles para enfrentarlos, por lo que es esencial poder presentar argumentos comerciales para esta inversión. Información clara sobre las exposiciones comerciales, operativas y financieras: 1) generar lenguaje para discutir los riesgos cibernéticos, 2) conectarse con miembros de la junta directiva que no tienen experiencia técnica y 3) incluir el riesgo cibernético en la agenda, además de permitir comparar este riesgo con otros desafíos corporativos. También ayuda a la junta a explicar la exposición al riesgo cibernético de la empresa a los inversores. La Asociación Nacional de Directores Corporativos (NACD) reconoce esta necesidad e implementó una solución disponible comercialmente para sus miembros.
2. Monitorear continuamente el desempeño de la capacidad de riesgo cibernético.
Las personas, los procesos y la tecnología que componen las empresas están cambiando, y cada vez hay más áreas que necesitan protección, lo que impone una carga cada vez mayor y dinámicamente cambiante sobre las capacidades de seguridad de la organización, lo que hace que los fallos sean más probables. Resolver estos problemas puede requerir importantes mejoras en la capacidad de seguridad, lo que puede llevar varios meses o incluso años.
El monitoreo continuo es esencial para establecer si la estrategia de gestión del riesgo cibernético funciona según lo previsto. A menudo se utilizan para este propósito paneles de informes de gestión, combinados con información obtenida de ejercicios de eventos cibernéticos. Actualmente, en su forma más avanzada, estas actividades pueden capturar la situación casi en tiempo real. Sin embargo, para cerrar la brecha de tiempo para utilizar las mejoras, los tomadores de decisiones necesitan ver cuál será el resultado futuro de sus decisiones estratégicas. Esto evoca la necesidad de enfoques basados en simulación para fortalecer las capacidades de previsión gerencial .
3. Anticipar proactivamente el cambiante panorama de amenazas.
La transformación digital también permite ataques más rápidos, más potentes y más sofisticados. Este comportamiento adversario fortalece la lucha actual, cambiante y emergente entre lo ofensivo y lo defensivo. Ambas partes intentan observarse, aprender y anticiparse mutuamente. En consecuencia, los adversarios introducen técnicas nuevas e innovadoras para seguir teniendo éxito.
La gestión proactiva del riesgo cibernético permite a las organizaciones defensoras aprender del intercambio de información y de los ejercicios previos a los ciberataques. Contribuye a mejorar la capacidad de seguridad antes de los ataques y, por tanto, reduce el número de incidentes de seguridad importantes. El aprendizaje reactivo es significativamente más costoso porque la mejora organizacional se produce en función de las lecciones aprendidas de los incidentes de ciberseguridad que han sufrido. Actualmente, el 56% de los tomadores de decisiones informados toman decisiones costosas y subóptimas cuando se trata de gestión de riesgos cibernéticos. El gasto excesivo en gestión del riesgo cibernético afecta la rentabilidad de la empresa.
4. Posicionar la seguridad como un habilitador estratégico del negocio.
La implementación de una estrategia de gestión de riesgos cibernéticos puede ser un desafío. Como se mencionó anteriormente, el aumento continuo de superficies que requieren protección y el aumento del comportamiento adversario requieren más esfuerzos por parte de los equipos de ciberseguridad para mejorar la postura defensiva. Sin embargo, estos equipos se enfrentan a la falta de recursos de seguridad cualificados. Actualmente, solo Estados Unidos tiene más de 750.000 puestos vacantes en ciberseguridad . Esto hace que centrarse en la carga de trabajo actual ya sea difícil, y mucho menos prepararse para la postura de defensa del futuro mediante la ejecución de un programa de gestión de riesgos cibernéticos.
La reducción efectiva y continua de la carga de trabajo se vuelve esencial. Por lo tanto, la seguridad por diseño, la colaboración con otras partes, la automatización y la realización de economías de escala son fundamentales para lograr un estado futuro de seguridad. Las organizaciones que no pueden hacer estos ajustes adecuadamente quedan cada vez más expuestas a fallos de control no deseados y a mecanismos de aprendizaje reactivo.
Las nuevas reglas de ciberseguridad de la SEC proporcionan una base sólida para la transparencia sobre la gobernanza del riesgo cibernético de las empresas. Estas reglas son una excelente base para iniciar un diálogo con la junta sobre la efectividad a largo plazo de la gobernanza del riesgo cibernético. Este artículo proporciona cuatro áreas críticas relevantes para este diálogo.
Texto con traducción automática de Google.
Tomado de:
Harvard Business Review. 4 Areas of Cyber Risk That Boards Need to Address. Recuperado de: www.hbr.org
