5 preguntas de seguridad que tiene que formular el consejo de administración
Orientaciones para después de la pandemia
Mientras el mundo avanza a pasos agigantados hacia la recuperación, los consejos de administración de empresas de todos los tamaños se preguntan qué toca ahora. Y la respuesta, en gran parte, la tiene la seguridad. Muchos consejos de administración notan que su relación con la ciberseguridad ha cambiado.
Hoy veo, fundamentalmente, dos tipos de consejos de administración: los que aplican una estrategia defensiva (por hacer una analogía con el mundo del deporte) y los que juegan a la ofensiva. Los primeros siguen percibiendo la ciberseguridad como un centro de costes y un elemento táctico que tiene que ver con el tiempo de actividad y la fiabilidad. Los consejos ofensivos, en cambio, ven la función de TI como un componente estratégico que les ayudará a transformar su empresa
y aspiran a convertir el centro de costes en un centro de beneficios. Este tipo de consejos con visión de futuro, que cada vez cuenta con más adeptos, busca nuevas fuentes de ingresos y, al mismo tiempo, formas de reducir los costes.
Cuál fue la prioridad de los consejos de administración durante la pandemia
Durante la pandemia, la función de TI ocupó un lugar central para muchos consejos de administración. Al fin y al cabo, si los empleados pudieron trabajar desde casa y, en un mundo distanciado físicamente, las operaciones de la empresa siguieron su curso fue gracias a ella.
Aunque el teletrabajo no es un fenómeno nuevo, antes de la pandemia a casi ningún director de tecnología se le hubiese pasado por la cabeza la posibilidad de tener a más del 90 % de su plantilla conectada desde casa. La necesidad aprieta, y los equipos directivos y consejos de administración se dieron cuenta de que, de hecho, los empleados pueden ser productivos cuando trabajan desde casa.
Cuando el teletrabajo dejó de ser una posibilidad para convertirse en una necesidad, las preocupaciones al principio de la pandemia pasaron a girar en torno a cómo garantizar que los empleados se conectaran de forma segura. Los consejos de administración y los equipos directivos también tuvieron que aprender sobre los patrones de acceso y decidir si derivar todo el tráfico a centros de datos corporativos o era preferible utilizar más la nube. Por otro lado, la resiliencia empresarial fue y sigue siendo otro de los problemas prioritarios para los consejos.
En busca de la resiliencia y la innovación pospandémicas
Últimamente, los consejos de administración con visión de futuro buscan, no ya ser resilientes, sino también mejorar su manera de operar y de innovar. Muchos se están planteando qué deberían cambiar —y mejorar— sus organizaciones con respecto a lo que hacían hasta 2020. Para salir de dudas, los consejos han estado preguntando a sus equipos directivos qué tienen que hacer para asegurarse de que, la próxima vez que se produzca otro incidente impredecible, la organización esté preparada y cuente con los recursos, la capacidad y la estrategia necesarias para capear el temporal y salir reforzada.
Libro de estrategias pospandémico para consejos de administración
Cuando la pandemia haya terminado, los consejos de administración tendrán que responder a cinco preguntas clave con la ayuda de sus equipos directivos:
- ¿Cómo influye la función de TI en los ingresos? Los consejos de administración preguntarán a la dirección del área de TI de la empresa cómo afecta su estrategia tecnológica a los ingresos. Para responder esa pregunta, el departamento de TI tendrá que presentar un programa de transformación digital exhaustivo que, además de la tecnología, aborde también al riesgo. Cuando la dirección del área de TI exponga su programa al consejo de administración, tendrá que mostrar una imagen con todo lujo de detalles, y no limitarse a decir que necesitan invertir dinero en tecnología.
- ¿Están bajo control los riesgos empresariales a los que se enfrenta la empresa? El consejo de administración tiene que determinar qué repercusiones tienen las brechas de ciberseguridad en la empresa, no ya desde una perspectiva tecnológica, sino también humana y en relación con los procesos. Tendrá que asegurarse de que el equipo directivo del área de ciberseguridad de la empresa haya hecho todo lo posible por mitigar esos riesgos o por aceptarlos con conocimiento de causa.
- ¿Cuáles son las prioridades de la empresa con respecto a las TI?La pandemia puso las prioridades patas arriba. Para muchas empresas, supuso suspender un gran número de proyectos tecnológicos. Con la vuelta a la normalidad y al trabajo en la oficina, el consejo de administración tiene que saber cuáles son las principales prioridades de la empresa con respecto al área de TI y qué consecuencias tienen esos proyectos en la seguridad.
- ¿Cómo piensa seguir innovando la empresa? Lógicamente, a los consejos de administración les preocupa mucho el futuro. Quieren asegurarse de que su empresa esté innovando y de que se apliquen programas de transformación que ayuden a incentivar el crecimiento. Ahora que la empresa está digitalizando y protegiendo la transición a la nube para el desarrollo de aplicaciones, el almacenamiento y los recursos informáticos, los consejos de administración se dan cuenta de que no puede haber transformación digital sin ciberseguridad.
- ¿Cómo está mejorando la organización de TI como tal? El consejo de administración quiere saber qué medidas están tomando la dirección tecnológica y de seguridad y sus equipos de TI para mejorar sus conocimientos y competencias. Esto incluye el reto inagotable de gestionar el talento y atraer las competencias adecuadas a la organización, así como asegurarse de que el equipo existente se esté formando debidamente. El consejo de administración también tiene que saber cuáles son los planes de desarrollo profesional de la dirección del área de TI. Básicamente, el consejo quiere saber si la organización de TI está desarrollando nuevas competencias (y cómo lo está haciendo) para cubrir las necesidades de innovación de la empresa.
La pandemia ha enseñado a las organizaciones qué necesitan para ser resilientes. Conforme la economía mundial se vaya recuperando, la pospandemia será el momento en que las empresas tendrán que ir más allá de la resiliencia para centrarse en lo que da resultados y propicia la innovación. En este proceso, la gestión del riesgo será un componente intrínseco.