A medida que innovaciones tecnol\u00f3gicas como la computaci\u00f3n en la nube, el Internet de las cosas, la automatizaci\u00f3n de procesos rob\u00f3ticos y el an\u00e1lisis predictivo se integran en las organizaciones, las hace cada vez m\u00e1s susceptibles a las amenazas cibern\u00e9ticas.\u00a0Las empresas Fortune 1000, por ejemplo, tienen un 25% de probabilidad de sufrir una vulneraci\u00f3n, y el 10% de ellas afrontar\u00e1n p\u00e9rdidas multimillonarias. En\u00a0las empresas m\u00e1s peque\u00f1as, el 60% quedar\u00e1 fuera del negocio a los seis meses de un ciberataque grave. Esto significa que gobernar y evaluar los riesgos cibern\u00e9ticos se convierte en un requisito previo para un desempe\u00f1o empresarial exitoso, y que los inversores necesitan saber cu\u00e1n vulnerables son realmente las empresas.<\/p>\n
Esta necesidad de transparencia ha sido reconocida por los reguladores y facilitada por las nuevas normas de ciberseguridad. Actualmente, la Comisi\u00f3n de Bolsa y Seguridad de EE.UU. (SEC) ha aumentado su aplicaci\u00f3n\u00a0para garantizar que las empresas mantengan controles de ciberseguridad adecuados y divulguen adecuadamente los riesgos e incidentes relacionados con la ciberseguridad.<\/p>\n
Desafortunadamente, nuestra investigaci\u00f3n muestra que el riesgo cibern\u00e9tico no es f\u00e1cil de entender. Las organizaciones a menudo parecen\u00a0subestimar las p\u00e9rdidas financieras\u00a0relacionadas con las amenazas cibern\u00e9ticas. Estos pueden incluir:<\/p>\n
Sin embargo, no hay un camino sencillo a seguir.\u00a0Invertir excesivamente en gesti\u00f3n de riesgos cibern\u00e9ticos\u00a0o en estrategias de gesti\u00f3n de riesgos que no se alinean con las necesidades del negocio puede tener\u00a0impactos igualmente negativos. Este art\u00edculo explica la importancia de las nuevas reglas de ciberseguridad de la SEC y aborda los cuatro temas esenciales que los inversores deben discutir con la junta para evaluar la efectividad a largo plazo de la estrategia de gesti\u00f3n de riesgos cibern\u00e9ticos de sus empresas.<\/p>\n
<\/p>\n
Ser transparente en materia de ciberseguridad no es s\u00f3lo una buena pr\u00e1ctica, sino que ahora es un requisito para las empresas estadounidenses. Las\u00a0nuevas reglas de ciberseguridad\u00a0de la SEC \u201cexigen que las empresas que cotizan en bolsa revelen sus capacidades de gobernanza de la ciberseguridad, incluida la supervisi\u00f3n del riesgo cibern\u00e9tico por parte de la junta, una descripci\u00f3n del papel de la administraci\u00f3n en la evaluaci\u00f3n y gesti\u00f3n de los riesgos cibern\u00e9ticos, la experiencia relevante de dicha administraci\u00f3n y el papel de la administraci\u00f3n en la implementaci\u00f3n de la pol\u00edticas, procedimientos y estrategias de ciberseguridad de la empresa\u201d.<\/p>\n
Este tipo de divulgaci\u00f3n permite a los inversores evaluar la atenci\u00f3n de los ejecutivos y l\u00edderes empresariales a los riesgos cibern\u00e9ticos. Los consejos de administraci\u00f3n deben comprender c\u00f3mo estas amenazas pueden causar da\u00f1os materiales. Por ejemplo, el ataque de ransomware a\u00a0Hanesbrands\u00a0interrumpi\u00f3 el cumplimiento de pedidos durante tres semanas, provocando una p\u00e9rdida de ingresos de 100 millones de d\u00f3lares. Otro ejemplo es la interrupci\u00f3n de TI causada por un ciberataque en\u00a0Tenet Healthcare, que tambi\u00e9n result\u00f3 en una p\u00e9rdida de ingresos de 100 millones de d\u00f3lares. Y la\u00a0violaci\u00f3n de Kaseya VSA\u00a0fue el resultado de un software operativo inseguro que finalmente permiti\u00f3\u00a0el aplazamiento de una oferta p\u00fablica inicial\u00a0que buscaba recaudar 875 millones de d\u00f3lares.<\/p>\n
Seg\u00fan las nuevas pautas de la SEC, las empresas tambi\u00e9n deben informar dentro de los cuatro d\u00edas posteriores a los incidentes que se consideren \u00abmateriales\u00bb. La determinaci\u00f3n de la \u201cmaterialidad\u201d est\u00e1 influenciada por el impacto del incidente en el negocio, las operaciones y las condiciones financieras de la empresa. Este informe obligatorio de incidentes permite a los inversores evaluar la eficacia de las pol\u00edticas de riesgo cibern\u00e9tico de la empresa y puede proporcionar aprendizajes para futuras mejoras en la gesti\u00f3n del riesgo cibern\u00e9tico. Y existe una importante oportunidad de mejora, ya que se espera que el costo de los delitos cibern\u00e9ticos (incluido el costo de recuperaci\u00f3n y remediaci\u00f3n) aumente a\u00a010,5 billones de d\u00f3lares por a\u00f1o para 2025\u00a0. <\/p>\n Estas nuevas reglas de ciberseguridad deben considerarse un punto de partida para el di\u00e1logo sobre la gobernanza del riesgo cibern\u00e9tico. Para reforzar su ciberseguridad y mantenerse a la vanguardia, las empresas deben anticiparse conscientemente a los cambios en el entorno interno y externo y priorizar sus esfuerzos en materia de riesgos cibern\u00e9ticos en consecuencia.<\/p>\n El riesgo cibern\u00e9tico puede ser dif\u00edcil de entender. Los miembros de la junta ya enfrentan muchos desaf\u00edos estrat\u00e9gicos diferentes, y cuando se enfrentan a problemas relacionados con el riesgo cibern\u00e9tico, como priorizar el\u00a0crecimiento del mercado de productos frente a su seguridad,\u00a0la dependencia cr\u00edtica de los proveedores para la prestaci\u00f3n segura de servicios,\u00a0lidiar con aspectos \u00abatroces\u00bb de los ataques de ransomware, o\u00a0siendo v\u00edctimas de tensiones cibern\u00e9ticas geopol\u00edticas: pueden verse abrumados por la complejidad y la naturaleza din\u00e1mica de los problemas. En \u00faltima instancia, esto puede causar puntos ciegos relacionados con la ciberseguridad, impactando la efectividad de las decisiones previstas e incluso generando consecuencias no deseadas, lo que puede conducir a lo que es la \u201ctrampa de la capacidad\u201d, un deterioro continuo de los procesos organizacionales esenciales. Una caracter\u00edstica esencial de esta trampa es que sus efectos permanecen ocultos a la direcci\u00f3n durante mucho tiempo, hasta que es demasiado tarde. La trampa de la capacidad ocurre con m\u00e1s frecuencia de lo que imaginan muchos tomadores de decisiones.\u00a0<\/strong><\/p>\n Para evitar esta trampa, las empresas deben centrarse en la eficacia a largo plazo de sus decisiones estrat\u00e9gicas en cuatro \u00e1reas:<\/p>\n Las juntas directivas tienen muchos desaf\u00edos corporativos que enfrentar y cantidades limitadas de financiamiento disponibles para enfrentarlos, por lo que es esencial poder presentar argumentos comerciales para esta inversi\u00f3n. Informaci\u00f3n clara sobre las exposiciones comerciales, operativas y financieras: 1) generar lenguaje para discutir los riesgos cibern\u00e9ticos, 2) conectarse con miembros de la junta directiva que no tienen experiencia t\u00e9cnica y 3)\u00a0incluir el riesgo cibern\u00e9tico en la agenda, adem\u00e1s de permitir comparar este riesgo con otros desaf\u00edos corporativos. Tambi\u00e9n ayuda a la junta a explicar la exposici\u00f3n al riesgo cibern\u00e9tico de la empresa a los inversores. La Asociaci\u00f3n Nacional de Directores Corporativos (NACD)\u00a0reconoce esta necesidad e implement\u00f3 una soluci\u00f3n disponible comercialmente para sus miembros.<\/p>\n Las personas, los procesos y la tecnolog\u00eda que componen las empresas est\u00e1n cambiando, y cada vez hay m\u00e1s \u00e1reas que necesitan protecci\u00f3n, lo que impone una carga cada vez mayor y din\u00e1micamente cambiante sobre las capacidades de seguridad de la organizaci\u00f3n, lo que hace que los fallos sean m\u00e1s probables. Resolver estos problemas puede requerir importantes mejoras en la capacidad de seguridad, lo que puede llevar varios meses o incluso a\u00f1os.<\/p>\n El monitoreo continuo es esencial para establecer si la estrategia de gesti\u00f3n del riesgo cibern\u00e9tico funciona seg\u00fan lo previsto. A menudo se utilizan para este prop\u00f3sito paneles de informes de gesti\u00f3n, combinados con informaci\u00f3n obtenida de ejercicios de eventos cibern\u00e9ticos. Actualmente, en su forma m\u00e1s avanzada, estas actividades pueden capturar la situaci\u00f3n casi en tiempo real. Sin embargo, para cerrar la brecha de tiempo para utilizar las mejoras, los tomadores de decisiones necesitan ver cu\u00e1l ser\u00e1 el resultado futuro de sus decisiones estrat\u00e9gicas. Esto evoca la necesidad de enfoques basados \u200b\u200ben simulaci\u00f3n para fortalecer\u00a0las capacidades de previsi\u00f3n gerencial\u00a0.<\/p>\n La transformaci\u00f3n digital tambi\u00e9n permite ataques m\u00e1s r\u00e1pidos, m\u00e1s potentes y m\u00e1s sofisticados. Este comportamiento adversario fortalece la lucha actual, cambiante y emergente entre lo ofensivo y lo defensivo. Ambas partes intentan observarse, aprender y anticiparse mutuamente. En consecuencia, los adversarios introducen t\u00e9cnicas nuevas e innovadoras para seguir teniendo \u00e9xito.<\/p>\n La gesti\u00f3n proactiva del riesgo cibern\u00e9tico permite a las organizaciones defensoras aprender del intercambio de informaci\u00f3n y de los ejercicios previos a los ciberataques. Contribuye a mejorar la capacidad de seguridad antes de los ataques y, por tanto, reduce el n\u00famero de incidentes de seguridad importantes. El aprendizaje reactivo es significativamente m\u00e1s costoso porque la mejora organizacional se produce en funci\u00f3n de las lecciones aprendidas de los incidentes de ciberseguridad que han sufrido. Actualmente, el 56% de los tomadores de decisiones informados toman\u00a0decisiones costosas y sub\u00f3ptimas\u00a0cuando se trata de gesti\u00f3n de riesgos cibern\u00e9ticos. El gasto excesivo en gesti\u00f3n del riesgo cibern\u00e9tico afecta la rentabilidad de la empresa.<\/p>\n La implementaci\u00f3n de una estrategia de gesti\u00f3n de riesgos cibern\u00e9ticos puede ser un desaf\u00edo. Como se mencion\u00f3 anteriormente, el aumento continuo de superficies que requieren protecci\u00f3n y el aumento del comportamiento adversario requieren m\u00e1s esfuerzos por parte de los equipos de ciberseguridad para mejorar la postura defensiva. Sin embargo, estos equipos se enfrentan a la falta de recursos de seguridad cualificados. Actualmente, solo Estados Unidos tiene m\u00e1s de 750.000\u00a0puestos vacantes en ciberseguridad\u00a0. Esto hace que centrarse en la carga de trabajo actual ya sea dif\u00edcil, y mucho menos prepararse para la postura de defensa del futuro mediante la ejecuci\u00f3n de un programa de gesti\u00f3n de riesgos cibern\u00e9ticos.<\/p>\n La reducci\u00f3n efectiva y continua de la carga de trabajo se vuelve esencial. Por lo tanto, la seguridad por dise\u00f1o, la colaboraci\u00f3n con otras partes, la automatizaci\u00f3n y la realizaci\u00f3n de econom\u00edas de escala son fundamentales para lograr un estado futuro de seguridad. Las organizaciones que no pueden hacer estos ajustes adecuadamente quedan cada vez m\u00e1s expuestas a fallos de control no deseados y a mecanismos de aprendizaje reactivo.<\/p>\n Las nuevas reglas de ciberseguridad de la SEC proporcionan una base s\u00f3lida para la transparencia sobre la gobernanza del riesgo cibern\u00e9tico de las empresas. Estas reglas son una excelente base para iniciar un di\u00e1logo con la junta sobre la efectividad a largo plazo de la gobernanza del riesgo cibern\u00e9tico. Este art\u00edculo proporciona cuatro \u00e1reas cr\u00edticas relevantes para este di\u00e1logo.<\/p>\n<\/del><\/p>\nCuatro \u00e1reas cr\u00edticas que los inversores deber\u00edan esperar que aborden las juntas directivas<\/strong><\/h2>\n
1. Alinear la gesti\u00f3n del riesgo cibern\u00e9tico con las necesidades del negocio.<\/strong>
<\/del><\/h3>\n2. Monitorear continuamente el desempe\u00f1o de la capacidad de riesgo cibern\u00e9tico.<\/strong><\/h3>\n
3. Anticipar proactivamente el cambiante panorama de amenazas.<\/strong><\/h3>\n
4. Posicionar la seguridad como un habilitador estrat\u00e9gico del negocio.<\/strong><\/h3>\n
\n