Regresar a la serie Enfrentando el Mañana

Disrupción Digital

Cómo pueden los Directores Generales pasar la prueba de liderazgo en ciberseguridad

La mayoría de las organizaciones no están recibiendo el apoyo que necesitan de sus jefes ejecutivos en materia de ciberseguridad. Nuestra investigación revela cuatro áreas de interés para los Directores Generales que buscan cambiar el juego.

8 minutos de lectura

2022

s+b, una publicación de PwC

Richard Horne

Presidente de Ciberseguridad del Reino Unido, PwC Reino Unido

Si usted es un director general hoy en día, su organización encaja en una de estas dos categorías: las empresas que han sufrido un ataque cibernético grave, y las empresas que no lo han hecho pero que están preocupadas por ser las siguientes. Las filas de las primeras y la vulnerabilidad de las segundas han crecido con la pandemia.

Como reacción a las respuestas de COVID-19 y a los cambios de comportamiento subsiguientes, muchas organizaciones redujeron a meses lo que habrían sido años de transformación digital, lo que podría modificar su perfil de riesgo de ciberseguridad. Los ciberataques aumentaron en todo el mundo a medida que las personas migraban a Internet, lo que desbordó a los ya de por sí limitados departamentos de TI y afectó a millones de nuevos usuarios de tecnología de trabajo a distancia. Algunas organizaciones, ante la interrupción de la cadena de suministro, recurrieron a proveedores alternativos cuyas prácticas de ciberseguridad subóptimas abrieron nuevas vías de ataque.

Las principales partes interesadas de una empresa -accionistas, clientes y empleados- han llegado a equiparar cualquier violación de la seguridad con una violación de la confianza, y crear y mantener la confianza es la principal tarea del director general. Para superar esta prueba de liderazgo en ciberseguridad, los directores ejecutivos deben desempeñar un papel de liderazgo activo, comprometido y continuo. Deben ser un socio de confianza de su Director de Seguridad de la Información (CISO por sus siglas en ingles), su Director de Informática (CIO por sus siglas en ingles) y su director de tecnología (CTO por sus siglas en ingles), al tiempo que garantizan que todos los miembros de la organización sean responsables, impulsen un valor tangible y utilicen la confianza y el propósito para enmarcar la misión del ciberriesgo. El problema: pocos lo hacen realmente.

Como parte de la Encuesta Global de Confianza Digital 2022 de PwC, hemos preguntado a casi 700 Directores Generales y a otros 2.900 ejecutivos de la Dirección Ejecutiva cómo se involucra el Director General en los asuntos de ciberriesgo de sus empresas. Los Directores Generales se ven a sí mismos como "comprometidos" y "estratégicos", participando en las discusiones sobre ciberseguridad y las implicaciones de privacidad de las fusiones y adquisiciones, así como en las conversaciones relativas a los cambios en los modelos y estrategias operativas. Pero otros ven una historia muy diferente: los encuestados que no son Directores Generales dicen que ven a sus Directores Generales como más reactivos que proactivos, más propensos a involucrarse en asuntos de ciberriesgo y privacidad sólo después de una vulneración de la empresa o cuando son contactados por los reguladores, no antes. Casi dos tercios (63%) de los que no son Directores Generales dicen que su organización no recibe el tipo de apoyo que necesita de su Director General.

Sin embargo, hay Directores Generales que han dado la vuelta a este problema. Un pequeño número de organizaciones líderes en nuestra encuesta (10%) han creado un plan para una empresa segura reduciendo la complejidad corporativa y estableciendo un marco para la responsabilidad compartida de la ciberseguridad, con el Director General desempeñando un papel de liderazgo clave. Basándonos en nuestro análisis de estas empresas, vemos un enfoque común de la ciberseguridad encarnado por cuatro Ps: principios, personas, priorización y percepción. Los Directores Generales que adoptan las cuatro Ps están convirtiendo lo que históricamente han sido pasivos en ventajas para ser llevadas al mercado, tejiéndolas en sus estrategias de negocio y operativas y haciendo del ciberriesgo una característica fundamental de su estrategia y propósito.

Principio

La primera prioridad de los Directores Generales es conectar la misión de la organización con la seguridad de los datos, los activos y las personas. Los Directores Generales pueden hacerlo articulando un principio de base inequívoco que establezca la seguridad y la privacidad como objetivos operativos e imperativos empresariales.

Aflac, el mayor proveedor de seguros complementarios en el lugar de trabajo de Estados Unidos, ha situado la ciberseguridad en el centro de lo que son y lo que hacen como empresa. "Somos una de las pocas compañías de seguros que nos medimos por la rapidez con la que pagamos", afirma el CISO de Aflac, Tim Callahan. "Nuestros directores de operaciones están obligados a pagar nuestros siniestros con rapidez. Dan Amos, nuestro Presidente y Director General, nunca ha perdido de vista quiénes son nuestros clientes, y cuánta confianza tienen en nosotros, y cómo estamos ahí para ellos en sus momentos de necesidad. Esto se extiende a la protección de su información. Entiende lo que la falta de ciberriesgo puede hacer a nuestra marca, a nuestros clientes y a nuestra reputación. Si al Director General no le apasiona eso, el problema es mayor"

Gente

La capacidad de atraer y retener a los mejores talentos es una de las tareas más importantes para los Directores Generales a la hora de establecer su organización como líder en ciberseguridad. El director ejecutivo, como la persona que tiene una visión de toda la empresa, debe entender las necesidades cibernéticas más críticas del negocio y tener una forma de fomentar y medir el desarrollo del talento para garantizar la entrada de empleados con una mentalidad de construir y transformar -en lugar de sólo mantener- lo que ya existe.

El Director General necesita trabajar con el CISO para ayudar a los empleados a entender las implicaciones de ciberseguridad de sus decisiones. Sin embargo, alrededor de una quinta parte de los CISO encuestados afirman tener poco contacto con los Directores Generales.

Clasificación de los CISO en la organización por grado de contacto, %

10% de los CISOs

nombre al Director General como el cargo con el que tienen menos contacto

21% de los CISOs

nombrar al Director General entre los tres cargos con los que tienen menos contacto

Clasificación de los CISO entre sus tres puestos de menor contacto, por región

Europa del Este

28%

Europa Occidental

27%

Asia-Pacífico

21%

América del Norte

19%

Este trabajo comienza con la contratación del CISO adecuado y el empoderamiento del CISO y de los equipos de seguridad para crear unidades interfuncionales dentro de la empresa. El Director General, trabajando con el CISO, también debe equipar a los empleados con las habilidades y la mentalidad necesarias para estar en sintonía con los riesgos de ciberseguridad y oportunidades que presentan todas las decisiones de negocio. Todos los miembros de la organización deben comprender las implicaciones en materia de ciberseguridad de su toma de decisiones.

"Para ser un CISO exitoso, tiene que entender el negocio en el que está operando y estar detrás de lo que el negocio quiere hacer", dijo Nicola O'Connor, jefe de seguridad de la información y el riesgo de TI en AIB, en una reciente mesa redonda organizada por PwC.

Priorización

El Director General puede elevar el nivel de prioridad del ciberriesgo de dos maneras concretas: simplificando la empresa y haciendo de la ciberseguridad un factor de desarrollo de la estrategia.

Las empresas representadas en nuestra encuesta que obtuvieron los mejores resultados en materia de ciberseguridad en los últimos dos años eran cinco veces más propensas que las demás a haber simplificado las operaciones en toda la empresa, lo que incluía la reorganización de funciones y formas de trabajo (59%) y la creación de un marco integrado de gobernanza de datos (58%). Estas empresas también dan prioridad a la ciberseguridad mediante el uso de soluciones tecnológicas para medir el riesgo de forma continua.

A nivel estratégico, los Directores Generales pueden incorporar su compromiso con la ciberseguridad en los procesos de toma de decisiones. Por ejemplo, muchas organizaciones podrían considerar los riesgos de ciberseguridad como parte de una revisión de Fusiones y Adquisiciones, pero ¿cuántas de ellas realmente rechazarían un acuerdo porque la empresa adquirida introduciría tal riesgo? ¿Y cuántas empresas retrasarían el lanzamiento de un producto hasta que se solucionen las principales vulnerabilidades de ciberriesgo? ¿Cuántas se preguntarían si la entrada en un nuevo mercado abriría la empresa a nuevas y potencialmente devastadoras ciberamenazas?

El ritmo del cambio tecnológico es más rápido que la capacidad institucional de muchas organizaciones de TI para adaptarse a él. Por ello, el Director General debe crear una cultura en la que las empresas se muevan con rapidez, pero con el compromiso de gestionar el riesgo.

Percepción

Los Directores Generales deben reconocer la brecha de percepción del ciberriesgo que puede existir, especialmente cuando se trata de sus cadenas de suministro. Solo el 40% de las empresas que encuestamos comprenden a fondo sus riesgos de ciberseguridad y privacidad de terceros, mientras que las empresas que obtuvieron los mejores resultados de ciberseguridad en los últimos dos años son 11 veces más propensas a afirmar lo mismo.

Gina McIntyre, Directora General del Organismo de Programas Especiales de la UE, entidad transfronteriza entre el Reino Unido e Irlanda, cree que las empresas deben comprender el elemento humano de la ciberdefensa, especialmente a lo largo de sus cadenas de suministro. Eso significa asegurarse de que todos los socios tienen personal formado para actuar con vigilancia. "Su mayor vulnerabilidad va a ser que un ser humano haga clic en algo que no debería hacerle clic", dijo en un reciente seminario web de PwC.

Guiadas por el Director General, las principales empresas que hemos analizado se centran en consolidar el número de terceros con los que hacen negocios, reconociendo que la evolución incontrolada de la cadena de suministro ha creado riesgos por su innecesaria complejidad. También simplifican sus propias organizaciones.

Swiss Reinsurance Company, conocida comúnmente como Swiss Re, contaba con tres sistemas financieros diferentes para tres unidades de negocio distintas, y cada unidad de negocio implementaba sus propias soluciones tecnológicas para necesidades específicas, antes de optar por la simplificación.

Esas soluciones tecnológicas se integrarían después en los sistemas de toda la empresa. El reto, según Philipp Krayenbuehl, director global de seguridad de Swiss Re, es que cada punto de integración e interfaz genera costos desde el punto de vista de la infraestructura y en términos de seguridad. Esto se aplica a las plataformas tecnológicas en general y a las herramientas de ciberseguridad en particular. Además, el mantenimiento de entornos tan complejos resulta cada vez más difícil, sobre todo en lo que respecta a las vulnerabilidades de seguridad.

Aunque las cuatro Ps no son en absoluto exhaustivas, creemos que el marco proporciona un buen punto de partida para que los Directores Generales negocien la era que se avecina. El crecimiento continuado de la economía digital depende de la capacidad del Director General para participar en la construcción de una estrategia eficaz de ciberriesgo, aumentar la educación cibernética y liderar la organización a través de todo tipo de desafíos de ciberamenazas, al mismo tiempo que busca oportunidades para crear una diferenciación competitiva. No nos hacemos ilusiones de que esto sea una tarea fácil para los Directores Generales de hoy en día, que cada vez más deben ser competentes en un amplio conjunto de características paradójicas para tener éxito en la era post-pandémica. Pero creemos que aquellos líderes que adopten su papel de liderazgo en ciberseguridad se convertirán en los campeones de la era digital.

Richard Horne es el presidente de ciberseguridad para el riesgo y la calidad de PwC Reino Unido, responsable de desarrollar y ofrecer una serie de servicios de ciberseguridad. Reconocido experto en ciberriesgo, ha representado al Reino Unido en materia de seguridad ante la OCDE, la Comisión Europea y la Organización Internacional de Estandarización.

Publicado por PwC
Lea más en strategy+business

Explore la serie

Disrupción Digital

Simplificando la Seguridad Informática

8 min de lectura Marzo 15, 2021

¿Nuestras instituciones se han vuelto demasiado complejas para asegurarlas?

Cambio Climático

Cómo el movimiento ESG impulsarán la próxima ola de transformación

6 min de lectura Enero 26, 2021

Y cómo se verá sobre el terreno.

Reporting y Confianza

Aprendiendo a amar la transparencia

6 min de lectura Enero 18, 2021

La imperativa post-COVID requiere de mucho mejor reportaje y divulgación de ESG. Los CEOs y sus equipos ejecutivos deben enfocarse en cinco prioridades a corto plazo.

Hello Tomorrow illustration - person looking through a keyhole

Prepare su negocio para lo que está por venir

Utilizando nuestros estudios, datos y expertos análisis, identificamos los temas que tienen un impacto inmediato en su negocio, y lo empoderamos para reinventar el futuro al examinar macrotendencias globales, explorando variaciones específicas del sector, y descubriendo las herramientas tecnológicas más recientes para impulsar el cambio.
Descubra más aquí