¿Cómo hacer de la ciberseguridad un activo estratégico?

REBOOT YOUR STRATEGY: CYBERSEGURITY

La prestigiosa Escuela de Administración y Dirección de Empresas Sloan del Instituto Tecnológico de Massachusetts (MIT) publica una serie de estudios frente a la situación excepcional que estamos viviendo y analiza cómo las compañías al enfrentarse a una disrupción e incertidumbre sin precedentes, deben ampliar el alcance de su estrategia si quieren sobrevivir y prosperar.

El estudio publicado en el MIT hace hincapié en que al elevar la ciberseguridad de necesidad operativa a fuente de oportunidades, los líderes de las organizaciones pueden impulsar la resiliencia y la ventaja competitiva.

Make Cybersecurity a Strategic Asset

A pesar de que asistimos periódicamente a numerosos ejemplos de devastadores ciberataques contra todo tipo de organizaciones, muchas de las empresas (incluyendo algunas de las más grandes del mundo) siguen sin estar preparadas

Aunque los ejecutivos reconocen la ciberseguridad como una parte importante de la planificación de TI, no entienden el carácter estratégico de los ciberataques, como amenaza grave para las ganancias y las operaciones, pero también como una oportunidad.

El estudio subraya que lo que los ejecutivos deben entender es que la resiliencia organizacional a los ciberataques requiere un cambio fundamental de mentalidad: los ejecutivos deben ver la ciberseguridad como estratégica en lugar de operativa, y como una oportunidad en lugar de un coste. 

Una estrategia de ciberseguridad madura proporciona la base para asegurar activos críticos y procesos comerciales, mejorar el aprendizaje en todos los niveles de la organización así como permite detectar y capturar nuevas oportunidades estratégicas. Puede revelar nuevas fortalezas y debilidades fundamentales en los equipos, sus líderes y en general descubrir las capacidades organizacionales.

Reboot Your Strategy MIT

¿Por qué los ejecutivos tratan la ciberseguridad como operativa, no estratégica?

Es fácil entender por qué los ejecutivos no reconocen la ciberseguridad como una prioridad estratégica, incluso cuando muchos se han embarcado en estrategias de transformación digital.

La ciberseguridad se delega en TI. El mantenimiento de sistemas seguros ha sido tradicionalmente responsabilidad de TI y, en muchos casos, la TI en sí misma no se ve como un proveedor de ventajas estratégicas, sino más bien como un proveedor de servicios internos principalmente responsable de mantener los sistemas en funcionamiento. A pesar de que la ciberamenaza a las empresas se ha magnificado drásticamente, y dado que la tecnología en muchos casos ha sido reconocida como altamente estratégica para la empresa, la ciberseguridad ha permanecido delegada a las operaciones de TI, donde reside la experiencia técnica necesaria para evaluar y responder a las ciberamenazas. 

Los autores del estudio lanzan alertan de que las empresas entienden mal la naturaleza estratégica del riesgo de ciberseguridad. Muchos ejecutivos no logran elevar el riesgo de un ciberataque a una consideración estratégica porque caracterizan erróneamente la amenaza como un evento aleatorio e impredecible, cuando, de hecho, ninguna organización es inmune y los ciberataques son «sorpresas predecibles» que aprovechan las debilidades en las estructuras y estrategias organizacionales

Algunas empresas son objetivos más atractivos que otras, pero en realidad, los ciberdelincuentes atacan directamente a organizaciones de todo tipo, y muchas otras empresas sufren daños colaterales en el curso de los ataques a otras empresas.

Cómo afecta nuestra psicología y sesgos

Desde el MIT se señala la afectación que tienen los sesgos de la dirección y responsables de los departamentos, ya que la inmensa mayoría de los ejecutivos asignan prioridades estratégicas basadas en sus propias áreas de especialización. También encontramos que los ejecutivos no han incluido la ciberseguridad entre sus prioridades estratégicas porque sus planes estratégicos y sus principales decisiones de inversión se han centrado en áreas en las que tenían experiencia previa o conocimientos técnicos, como ingeniería, finanzas y marketing. Los ciberataques no son rutinarios y son difíciles de planificar, y muchos ejecutivos no han experimentado un ciberataque grave. La tendencia cognitiva es seguir con las mismas prioridades estratégicas, interpretando la ausencia de un ciberataque como evidencia de que la empresa va por buen camino. Después de los ciberataques recientes, como el NotPetya, los ejecutivos entendieron la importancia de definir los temas estratégicos de acuerdo con sus impactos potenciales en el desempeño de la empresa.

Cambiando la narrativa sobre la ciberseguridad

Los altos ejecutivos que guiaron a sus empresas a través de los ciberataques experimentaron un cambio fundamental de mentalidad, transformando sus percepciones de la ciberseguridad de operativa a estratégica, de reactiva a proactiva y de impulsada por amenazas a impulsada por oportunidades. En la práctica, esto significa tomarse en serio las ciberamenazas en los niveles más altos de toma de decisiones. 

Antes de sufrir un ataque, los ejecutivos cometen el error de ver las inversiones en ciberseguridad como una situación en la que todos pierden. Piensan que si su empresa es atacada, perderán reputación y ganancias; pero si la empresa no es atacada, las inversiones en ciberseguridad se desperdician. Como resultado, las empresas han invertido poco en ciberseguridad.

Tras un ciberataque real, los ejecutivos aprecian el valor estratégico de las inversiones en ciberseguridad, no solo para mitigar el riesgo o minimizar los daños, sino también para fortalecer las capacidades estratégicas centrales de la empresa. Por ejemplo, uno de los ejecutivos que participaron en el estudio del MIT, indicó que el ciberataque “era una amenaza existente para nuestro negocio, y una de las cosas que muestra es dónde existe un liderazgo fuerte o débil”. 

Mejorar el aprendizaje organizacional

La investigación muestra que los ejecutivos pueden aprovechar la estrategia de ciberseguridad para mejorar el aprendizaje organizacional y crear nuevas oportunidades. Las empresas que sufren ciberataques descubren que un ataque expone debilidades no solo en ciberseguridad sino en muchos otros aspectos del negocio, como el desarrollo de liderazgo, las comunicaciones externas y la innovación de procesos. En consecuencia, el proceso de desarrollo de una estrategia integral de ciberseguridad puede descubrir de manera similar debilidades y oportunidades.

Obtener una comprensión más estratégica de la ciberseguridad crea la oportunidad de una integración y un entendimiento más estrechos entre el negocio y los equipos TIC. 

Proactividad

Los altos ejecutivos que guiaron a sus empresas a través de los ciberataques experimentaron un cambio fundamental de mentalidad, transformando sus percepciones de la ciberseguridad de operativa a estratégica, de reactiva a proactiva y de impulsada por amenazas a impulsada por oportunidades. En la práctica, esto significa tomarse en serio las ciberamenazas en los niveles más altos de toma de decisiones.

Las empresas que participaron en estudio del MIT que sufrieron el mayor daño a largo plazo por un ciberataque –daño competitivo, económico y reputacional– fueron aquellas que descuidaron uno o más elementos del modelo «holístico» que proponen los investigadores. Con mucho, el error más común fue centrarse únicamente en la protección y descuidar los demás elementos

Todas las empresas habían realizado inversiones previas para protegerse contra los ciberataques y (en menor medida) para planificar las ciberespuestas. Sin embargo, estas inversiones se desperdiciaron en gran medida porque los líderes consideraron que las amenazas tenían consecuencias solo dentro de sus departamentos de TI en lugar de paralizar potencialmente todo el negocio.

Después de un ciberataque, todas las empresas ampliaron sus estrategias de ciberseguridad aumentando significativamente las inversiones para ampliar la conciencia y gestionar las consecuencias de un ciberataque.

La investigación muestra que las empresas pueden mejorar exponencialmente la resiliencia a los ciberataques al interrogar diferentes elementos de la resiliencia organizacional como parte del proceso de planificación estratégica de la empresa. Desde Kymatio proporcionamos una de las fuentes necesarias, creando visibilidad sobre el ciberriesgo de empleados.

Hacerse las preguntas ahora, antes de un ciberataque, permite a las empresas trabajar de manera proactiva para capturar nuevas oportunidades que brinda el contexto de la estrategia de ciberseguridad. 

Al adoptar una mentalidad estratégica hacia la ciberseguridad, los ejecutivos pueden aprovechar la estrategia de ciberseguridad para mejorar la resiliencia organizacional y construir nuevas capacidades para una ventaja estratégica. Aquí es donde deben obtenerse métricas de ciberriesgo en diversos ámbitos, pero en especial sobre las personas.

Basado en REBOOT YOUR STRATEGY: CYBERSEGURITY

Publicado en abierto (Registro) por el MITSloan Management Review.
Manuel Hepfer. Doctorando en Saïd Business School de la Universidad de Oxford.
Thomas C. Powell. Profesor de estrategia en Saïd Business School. 

Comente este artículo en https://sloanreview.mit .edu / x / 62120.