Según pública el portal hbr.org
A medida que las innovaciones tecnológicas, como la computación en la nube, el Internet de las cosas, la automatización robótica de procesos y el análisis predictivo, se integran en las organizaciones, las hace cada vez más susceptibles a las ciberamenazas. Empresas de la lista Fortune 1000, por ejemplo, tienen un 25% de probabilidades de ser infringidos y el 10% de ellos se enfrentará a pérdidas multimillonarias. En empresas más pequeñas, el 60% quebrará a los seis meses de un ciberataque grave. Esto significa que gestionar y evaluar el ciberriesgo se convierte en un requisito previo para el éxito empresarial, y que los inversores necesitan saber qué tan vulnerables son realmente las empresas.
Los reguladores han reconocido esta necesidad de transparencia y las nuevas normas de ciberseguridad la han facilitado. Actualmente, la Comisión de Bolsa y Seguridad de los Estados Unidos (SEC) ha aumentado su aplicación para garantizar que las empresas mantienen los controles de ciberseguridad adecuados y divulgan adecuadamente los riesgos e incidentes relacionados con la ciberseguridad.
Lamentablemente, nuestras investigaciones muestran que el ciberriesgo no es fácil de entender. Las organizaciones parecen a menudo subestimar las pérdidas financieras relacionado con las ciberamenazas. Estas pueden incluir:
- Efectos inmediatos, como interrupciones de la actividad empresarial, disminución de la producción y retrasos en el lanzamiento de los productos, así como costes adicionales para recuperarse de un ataque.
- Consecuencias a largo plazo, como el daño a la competitividad y la pérdida de reputación de la empresa, así como la pérdida de ingresos por el robo de propiedad intelectual, el robo de datos o el uso no autorizado de información confidencial.
- También existen riesgos legales derivados de la negligencia, por ejemplo, obligaciones de ciberresiliencia en los productos y servicios, notificación de infracciones, protección de datos confidenciales, o protección de infraestructuras críticas.
Sin embargo, no hay una forma sencilla de avanzar. Invertir de más en la gestión del ciberriesgo o las estrategias de gestión de riesgos que no se alinean con las necesidades de la empresa pueden tener impactos negativos equivalentes. Este artículo explica la importancia de las nuevas normas de ciberseguridad de la SEC y aborda los cuatro temas esenciales que los inversores deben analizar con el consejo de administración para evaluar la eficacia a largo plazo de la estrategia de gestión de los ciberriesgos de sus empresas.
Transparencia en la gobernanza del ciberriesgo
Ser transparente en lo que respecta a la ciberseguridad no es solo una buena práctica, sino que ahora es un requisito para las empresas estadounidenses. La SEC nuevas normas de ciberseguridad «exigir a las empresas que cotizan en bolsa que divulguen sus capacidades de gobernanza de la ciberseguridad, incluida la supervisión del ciberriesgo por parte del consejo de administración, una descripción del papel de la dirección en la evaluación y la gestión de los ciberriesgos, la experiencia pertinente de dicha dirección y el papel de la dirección en la implementación de las políticas, procedimientos y estrategias de ciberseguridad de la empresa».
Este tipo de divulgación permite a los inversores evaluar la atención de los ejecutivos y líderes empresariales a los ciberriesgos. Los consejos de administración deben entender cómo estas amenazas pueden causar daños materiales. Por ejemplo, el ataque de ransomware a Marcas Hanes interrumpió la gestión logística de los pedidos durante tres semanas y provocó una pérdida de ingresos de 100 millones de dólares. Otro ejemplo es la interrupción de TI provocada por un ciberataque en Tenet Healthcare, lo que también se tradujo en una pérdida de ingresos de 100 millones de dólares. Y el Infracción de VSA en Kaseya fue el resultado de un software operativo inseguro que, en última instancia, permitió el aplazamiento de una oferta pública inicial que buscaba recaudar 875 millones de dólares.
Según las nuevas directrices de la SEC, las empresas también están obligadas a denunciar en un plazo de cuatro días los incidentes que se consideren «importantes». La determinación de la «importancia relativa» está influenciada por el impacto del incidente en los negocios, las operaciones y las condiciones financieras de la empresa. Esta notificación obligatoria de incidentes permite a los inversores evaluar la eficacia de las políticas de ciberriesgo de la empresa y puede proporcionar información para futuras mejoras en la gestión del ciberriesgo. Y existe una gran oportunidad de mejora, ya que se espera que el coste de la ciberdelincuencia, incluidos los costes de recuperación y remediación, aumente a 10,5 billones de dólares al año para 2025.
Cuatro áreas críticas que los inversores deberían esperar que aborden las juntas directivas
Estas nuevas normas de ciberseguridad deberían considerarse un punto de partida para el diálogo sobre la gobernanza del ciberriesgo. Para reforzar su ciberseguridad y mantenerse a la vanguardia, las empresas deben anticipar conscientemente los cambios del entorno interno y externo y priorizar sus esfuerzos de ciberriesgo en consecuencia.
El ciberriesgo puede ser difícil de entender. Los miembros del consejo ya se enfrentan a muchos desafíos estratégicos diferentes y, cuando se enfrentan a problemas relacionados con el ciberriesgo, como priorizar el crecimiento del mercado de productos frente a su seguridad, dependencia crítica de los proveedores para una prestación de servicios segura, abordar los aspectos «atroces» de los ataques de ransomware, o siendo víctima de cibertensiones geopolíticas — pueden verse abrumados por la complejidad y la naturaleza dinámica de los problemas. En última instancia, esto puede provocar puntos ciegos relacionados con la ciberseguridad, afectar a la eficacia de las decisiones previstas e incluso provocar consecuencias no deseadas, lo que puede llevar a lo que se conoce como la «trampa de la capacidad», un deterioro continuo de los procesos organizativos esenciales. Una característica esencial de esta trampa es que sus efectos permanecen ocultos a la dirección durante mucho tiempo, hasta que es demasiado tarde. La trampa de la capacidad ocurre con más frecuencia de lo que muchos responsables de la toma de decisiones imaginan.
Para evitar esta trampa, las empresas deben centrarse en la eficacia a largo plazo de sus decisiones estratégicas en cuatro áreas:
1. Alinee la gestión del ciberriesgo con las necesidades de la empresa.
Los consejos de administración tienen muchos desafíos corporativos a los que se enfrentan y cantidades limitadas de financiación disponibles para superarlos, por lo que es esencial poder presentar los argumentos de negocio para esta inversión. Información clara sobre las exposiciones empresariales, operativas y financieras: 1) generar lenguaje para hablar sobre los ciberriesgos, 2) conectarse con miembros del consejo de administración que no tienen formación técnica y 3) incluir el ciberriesgo en la agenda, además de permitir comparar este riesgo con otros desafíos corporativos. También ayuda al consejo de administración a explicar la exposición de la empresa al ciberriesgo a los inversores. El Asociación Nacional de Directores Corporativos (NACD) reconoce esta necesidad e implementó una solución disponible en el mercado para sus miembros.
2. Supervise continuamente el rendimiento de la capacidad de ciberriesgo.
Las personas, los procesos y la tecnología que componen las empresas están cambiando, y cada vez hay más áreas que necesitan protección, lo que impone una carga cada vez mayor y que cambia de forma dinámica a las capacidades de seguridad de la organización, lo que aumenta la probabilidad de que se produzcan errores. La solución de estos problemas puede requerir mejoras importantes en la capacidad de seguridad, lo que puede llevar varios meses o incluso años.
La supervisión continua es esencial para determinar si la estrategia de gestión del ciberriesgo funciona según lo previsto. A menudo, los paneles de informes de gestión, combinados con información de los ejercicios de cibereventos, se utilizan para este propósito. Actualmente, en su forma más avanzada, estas actividades pueden capturar la situación casi en tiempo real. Sin embargo, para cerrar la brecha temporal a la hora de utilizar las mejoras, los responsables de la toma de decisiones necesitan ver cuál es el resultado futuro de sus decisiones estratégicas. Esto evoca la necesidad de enfoques asistidos por simulación para fortalecer capacidades de previsión gerencial.
3. Anticípese de forma proactiva al cambiante panorama de las amenazas.
La transformación digital también permite realizar ataques más rápidos, potentes y sofisticados. Este comportamiento conflictivo refuerza la lucha actual, cambiante y emergente entre la ofensiva y la defensiva. Ambas partes tratan de observarse, aprender y anticiparse mutuamente. En consecuencia, los adversarios introducen técnicas nuevas e innovadoras para seguir teniendo éxito.
La gestión proactiva del ciberriesgo permite a las organizaciones defensoras aprender del intercambio de información y de los ejercicios previos a los ciberataques. Contribuye a mejorar la capacidad de seguridad antes de los ataques y, por lo tanto, reduce el número de incidentes de seguridad importantes. El aprendizaje reactivo es significativamente más caro porque la mejora de la organización se lleva a cabo en función de las lecciones aprendidas de los incidentes de ciberseguridad que han sufrido. En la actualidad, el 56% de los responsables de la toma de decisiones bien informados cuestan, decisiones subóptimas en lo que respecta a la gestión del ciberriesgo. El gasto excesivo en la gestión del ciberriesgo afecta a la rentabilidad de la empresa.
4. Posicione la seguridad como un facilitador empresarial estratégico.
La implementación de una estrategia de gestión del ciberriesgo puede ser un desafío. Como se mencionó anteriormente, el aumento continuo de superficies que requieren protección y el aumento del comportamiento adverso requieren que los equipos de ciberseguridad se esfuercen más por mejorar la postura defensiva. Sin embargo, estos equipos tienen problemas con la falta de recursos de seguridad cualificados. En la actualidad, solo en los Estados Unidos hay más de 750 000 ofertas de trabajo en ciberseguridad. Esto hace que centrarse en la carga de trabajo actual ya sea difícil, y mucho menos prepararse para la postura de defensa del futuro mediante la ejecución de un programa de gestión de ciberriesgos.
La reducción efectiva y continua de la carga de trabajo se vuelve esencial. Por lo tanto, la seguridad desde el diseño, la colaboración con otras partes, la automatización y la consecución de economías de escala son fundamentales para lograr un estado de seguridad futuro. Las organizaciones que no pueden realizar estos ajustes correctamente están cada vez más expuestas a lapsos de control involuntarios y a un mecanismo de aprendizaje reactivo.
Las nuevas normas de ciberseguridad de la SEC proporcionan una base sólida para la transparencia en la gobernanza de los ciberriesgos de las empresas. Estas normas son una base excelente para iniciar un diálogo con la junta sobre la eficacia a largo plazo de la gobernanza del ciberriesgo. Este artículo proporciona cuatro áreas críticas relevantes para este diálogo.
Agradecimientos: Esta obra está cofinanciada por el «Fondo Europeo di Sviluppo Regionale Puglia POR Puglia 2014 — 2020 — Asse I — Obiettivo specifico 1a — Azione 1.1 (RS) — Titolo Progetto: Suite prodotti Cybersecurity e SOC» y BV TECH S.p.A. Esta obra está cofinanciada por Ciberseguridad en el MIT Sloan (LEVAS).
