A estas alturas, la mayoría de las juntas directivas están convencidas de la necesidad de invertir en ciberseguridad. Entienden que un incidente cibernético grave implica altos costos, daña la reputación de la marca, puede devastar las operaciones, destruir la confianza del consumidor e incluso generar preocupaciones existenciales para la organización. Año tras año, la situación de la ciberseguridad sigue empeorando. Por ejemplo, el informe sobre delitos del FBI realizado en 2024, publicado la primavera pasada, reveló que las pérdidas por ciberdelitos aumentaron un 33% en comparación con el año anterior.
Con base en nuestras entrevistas a profundidad con más de 75 directores y ejecutivos que interactúan con juntas directivas, nos preocupa que, a pesar de que estas han puesto mayor énfasis en el riesgo cibernético, su capacidad para mitigarlo solo ha mejorado ligeramente.
Esto es lo que los directores deben hacer de manera diferente.
LA FALTA DE EXPERIENCIA EN CIBERSEGURIDAD
Muchas juntas directivas reconocen que carecen de suficiente experiencia en ciberseguridad. Sin embargo, incluso cuando logran incorporar directores con conocimientos en la materia, los beneficios pueden verse limitados por la rapidez con la que evoluciona el entorno cibernético.
LO QUE DEBEN HACER LAS JUNTAS DIRECTIVAS: En primer lugar, los directores deben evaluar la claridad, relevancia y accesibilidad de los informes de seguridad. En segundo lugar, deben confirmar que los esfuerzos y la cultura de ciberseguridad de la organización estén enfocados en la resiliencia y la continuidad del negocio, en lugar de centrarse de manera limitada en la implementación y prueba de controles técnicos. En tercer lugar, deben asegurarse de que las conversaciones sobre ciberseguridad sean frecuentes y estratégicas. Además, las juntas directivas deberían incorporar consultores externos para fortalecer su capacidad de ejercer una gobernanza adecuada en materia de ciberseguridad.
LA IA ES TANTO UNA OPORTUNIDAD COMO UN RIESGO
La IA está revolucionando la ciberseguridad de la misma forma en que está transformando los negocios: los actores maliciosos ahora pueden utilizarla para agilizar la generación de malware (código dañino que puede atacar sus sistemas) y aumentar la escala y la velocidad de los ciberataques mediante la automatización. Además, la IA puede emplearse para crear correos electrónicos de phishing sorprendentemente creíbles (por ejemplo, spear phishing asistido por IA), así como imágenes, audio y video para ataques personalizados altamente dirigidos, lo que puede derivar en pérdidas de millones de dólares.
LO QUE DEBEN HACER LAS JUNTAS DIRECTIVAS: Las juntas directivas deben tratar la IA tanto como una oportunidad estratégica como un riesgo en términos de ciberseguridad y gobernanza. En la práctica, esto implica garantizar una supervisión estructurada de las amenazas impulsadas por IA, sus implicaciones éticas y las vulnerabilidades operativas.
Hágase preguntas como:
-- ¿Estamos priorizando la integración de la IA porque realmente genera valor o solo porque todos los demás lo están haciendo?
-- ¿Estamos haciendo concesiones innecesarias entre la adopción de IA y los riesgos asociados a ella?
-- ¿Cómo están cambiando nuestros procesos clave debido a la IA y cuáles serían las implicaciones si esos procesos se vieran interrumpidos como resultado?
Las juntas directivas deben ejercer una supervisión significativa (comprendiendo las capacidades de la IA, definiendo objetivos estratégicos claros y comprometiéndose con la implementación de medidas de seguridad adecuadas) que esté a la altura del ritmo de los esfuerzos estratégicos que impulsan la integración de la IA.
EL CUMPLIMIENTO NORMATIVO NO ES SINÓNIMO DE SEGURIDAD
Las organizaciones lo suficientemente grandes como para contar con una junta directiva, a menudo, obtienen poco valor (o ninguno) de las regulaciones en ciberseguridad. Dado que cuentan con recursos suficientes para contratar talento de alto nivel en esta área, las regulaciones a las que están sujetas suelen ser irrelevantes o llegar en momentos poco oportunos.
LO QUE DEBEN HACER LAS JUNTAS DIRECTIVAS: Las juntas directivas deben poner énfasis en los incentivos internos, la rendición de cuentas y la disciplina operativa, tratando la ciberseguridad como un componente central de la resiliencia y la competitividad a largo plazo.
Hágase preguntas como:
-- ¿En qué medida los elementos de ciberseguridad están integrados en el desarrollo de nuestros productos y servicios?
-- ¿La junta directiva está abordando la ciberseguridad de forma proactiva o reactiva?
-- ¿Cómo puede una mejor ciberseguridad mejorar la experiencia del cliente y la reputación de la marca?
Las juntas directivas deben indagar activamente para identificar a los socios de alto riesgo, confirmar que las amenazas externas estén plenamente integradas en los planes de continuidad del negocio y verificar que existan redundancias adecuadas para funciones críticas. Asimismo, los directores deben incentivar a sus socios a adoptar una postura más avanzada, que reconozca el cumplimiento normativo como un factor de resiliencia y una ventaja competitiva.