Nota: Hacemos nuestro mejor esfuerzo por preservar el espíritu original y los matices de nuestros artículos. Sin embargo, nos disculpamos de antemano por cualquier falla de traducción que pueda notar. Agradecemos sus comentarios en reader_input@mckinsey.com
La época en que la ciberseguridad era una función separada y aislada en las organizaciones ha terminado. Las amenazas actuales, impulsadas por la inteligencia artificial (IA), exigen que las organizaciones implementen una “cobertura aire-tierra” —desde la sala del consejo directivo hasta las bases— en toda la institución. Nadie es más consciente de estas amenazas y de la magnitud de la respuesta necesaria que el director de seguridad de la información (chief information security officer, o CISO) de una organización.
En una reciente mesa redonda, McKinsey y la National Association of Corporate Directors (NACD) reunieron a cinco destacados CISOs y directores de consejos de administración para debatir cómo está cambiando la ciberseguridad, cómo deben modificar su enfoque las organizaciones y cómo los CISOs y los directores están en una posición única para codirigir el esfuerzo de mantener seguras a las instituciones, al tiempo que se benefician de las nuevas tecnologías.
Moderado por el exempleado de McKinsey, Justin Greis, el panel incluyó a Katie Jenkins, CISO de Liberty Mutual; Marco Maiurano, CISO de First Citizens Bank; Matt Rogers, director independiente de Exelon; Noopur Davis, directora de producto y seguridad de la información de Comcast y miembro de los consejos de administración de Regions Bank y Entrust; y Nora Denzel, directora de la NACD, directora independiente principal de AMD y consejera de Gen Digital y Sony Group.
Estas preguntas y respuestas han sido editadas por motivos de claridad y extensión.
Ciberseguridad: Una responsabilidad compartida y una ventaja estratégica
Por Peter Gleason
Los consejos de administración y los altos ejecutivos solían considerar la gestión del riesgo cibernético como una inversión para evitar pérdidas: de datos, dinero y, lo que es más importante, de confianza. Esta visión ha evolucionado, y hoy la ciberseguridad se reconoce cada vez más como un impulsor de la ventaja competitiva y la protección de los activos críticos.
Este cambio se está acelerando por la rápida adopción de la inteligencia artificial (IA) generativa y porque los consejos de administración están asumiendo más responsabilidades de supervisión. En el centro de esta evolución se encuentra el director de seguridad de la información (CISO), cuya función ha pasado de ser la de un tecnólogo a la de un socio comercial: alguien que aporta contexto operativo al riesgo y posiciona a la organización para que se adapte, no solo para que reaccione.
El debate presentado aquí –facilitado por la National Association of Corporate Directors (NACD) y McKinsey– es oportuno. La solidez de la relación entre el consejo de administración y el CISO es ahora un factor determinante en la resiliencia cibernética a largo plazo. Los consejos deben desarrollar la fluidez necesaria para alinear la innovación, el riesgo y las estrategias empresariales con lo que nos depara el futuro. Y los CISOs aportan un nivel de experiencia y contexto que el consejo probablemente no tiene. Si bien puede ser difícil lograr el equilibrio adecuado entre el consejo y los líderes tecnológicos, la estrategia y la gobernanza tecnológica son fundamentales para las funciones del consejo y del CISO. Al final, el éxito depende de ver la ciberseguridad como una responsabilidad compartida y una ventaja estratégica.
Gracias a McKinsey, a los panelistas y a todos los que participaron en esta importante conversación. Sigamos adelante con este diálogo.
Peter Gleason es presidente y CEO de NACD.
Justin Greis: Comencemos con la perspectiva del consejo de administración. ¿Qué opina sobre la ciberseguridad? ¿Cómo aborda el tema?
Noopur Davis: Lo que no se puede hacer es convertirlo en un debate sobre tecnología en términos crípticos que nadie entiende. Una forma de abordarlo es a través del storytelling con datos que lo respalden, y eso parece tener buena acogida. Nos obliga a simplificar el mensaje para que el contenido sea fácil de entender y se quede grabado en la mente de las personas. Los miembros del consejo suelen ser muy activos y estar muy bien informados, por lo que nos harán preguntas directas sobre nuestros riesgos, lo que nos da la oportunidad de profundizar en sus áreas de interés (vea el recuadro: “El consejo de administración y el CISO: tres preguntas a tener en cuenta”).
Si el consejo te hace una pregunta más de una vez, debería formar parte de tus materiales de referencia. Por eso nuestros materiales de referencia son muy detallados. Hay muchos datos y opiniones detalladas sobre los controles que pueden dar lugar a un debate más profundo. Pero la parte conversacional siempre es más narrativa, y funciona muy bien.
Katie Jenkins: Si se trata de una sesión informativa cibernética independiente para un comité del consejo, empiezo por el presidente del comité y le pregunto: “¿Hay algo que le preocupe en especial, que realmente quiera saber, que no haya oído antes o que simplemente le inquiete?”. Es una información importante; a menudo hay temas o preguntas que preocupan a los directores, y ponerlos sobre la mesa desde el principio nos permite identificarlos y decidir si abordarlos de inmediato o dejarlos para más adelante.
También recojo pistas de las conversaciones que se producen en los pasillos antes y después de las reuniones del consejo, que son muy importantes porque a menudo surgen temas que deberían abordarse o que dan una idea de cuáles son las verdaderas preocupaciones. Intento presentar mis actualizaciones personalmente siempre que puedo, porque así se crea un ambiente más abierto para el debate.
Más perspectivas de McKinsey en Español
Mire nuestra colección de artículos en Español y suscríbase a nuestro newsletter mensual en Español.
Marco Maiurano: Mi forma de abordar el tema de la ciberseguridad con el consejo es fuera de las reuniones con ellos. Les pregunto qué han oído, cuáles son sus preocupaciones y qué han leído que les gustaría comprender. También quiero empoderar a los miembros de mi consejo para que sientan que cuentan con los conocimientos y las respuestas necesarios a esas preguntas, de modo que se sientan cómodos al acudir a una reunión: “Oye, he oído hablar de estas cosas. Ahora tengo algunos antecedentes. Puedo hacer mejores preguntas”. Y eso es realmente lo que debe hacer el consejo: comprobar, cuestionar y supervisar para que podamos apoyar colectivamente la misión.
Matt Rogers: En el caso de la infraestructura energética, la ciberseguridad es un riesgo omnipresente. La industria hace un gran trabajo en la gestión de riesgos, colaborando con los organismos gubernamentales pertinentes. En las conversaciones con el CISO, el primer paso es comprender cuál es el perfil de la amenaza. Esta es la conversación básica. Si alguien da por sentado que la amenaza no existe, es probable que ya la haya pasado por alto. El segundo paso es comprender dónde residen los riesgos. Debe existir un entendimiento sobre cómo eliminar sistemáticamente esos riesgos. La función del consejo es garantizar que la empresa elimine los riesgos y, en caso de un incidente, asegurarse de que la dirección y el consejo tengan preparada una respuesta rápida y disciplinada.
Justin Greis: Nora, a menudo habla de la idea de la cobertura “aire-tierra”. ¿Podría contarnos un poco qué significa eso para usted desde el punto de vista de la gobernanza?
Nora Denzel: Se necesita una cobertura “aire-tierra” en materia de tecnología, ya que la composición de los consejos de administración varía. La mayoría de los directores tienen conocimientos financieros, pero algunos miembros del consejo pueden entrar en la categoría de “outsiders de la tecnología”: personas con experiencia limitada en este campo y que quizá no hayan seguido el ritmo de los avances tecnológicos actuales. Luego están los pioneros tecnológicos y los nativos digitales. Los CISOs deben ser capaces de llegar a todo tipo de directores y, a menudo, se encuentran en una situación complicada.
En realidad, los CISOs se enfrentan a una curva de campana de personas ajenas a la tecnología, inmigrantes tecnológicos [usarios que no crecieron utilizando la tecnología] y usuarios pioneros. Y con suerte, en algún momento, contarán con un nativo digital. Se trata de un conjunto de personas muy diverso y desafiante para cualquier tema, y más aún para uno tan complejo y en rápida evolución como la ciberseguridad.
La NACD cree que la base de una buena gobernanza es la perspicacia tecnológica, y brindamos a nuestros miembros investigaciones y liderazgo intelectual fiables e independientes para ayudar a los directores a ampliar sus conocimientos y aplicar una cobertura real “aire-tierra”. Esta es una de las razones por las que la NACD formó una Comisión Blue Ribbon de 24 miembros que publicó el informe “Liderazgo tecnológico en la sala de consejo: impulsar la confianza y el valor” (Technology Leadership in the Boardroom: Driving Trust and Value), para ayudar a los consejos de administración corporativos a navegar por el rápido ritmo de la tecnología y la innovación. Recomendamos que todos los consejos directivos cuenten con capacidades de ciberseguridad, al igual que hacemos en finanzas, para poder profundizar realmente.
Marco Maiurano: Mi CEO me hizo la misma pregunta sobre qué opino acerca de la ciberseguridad. Observó: “La variabilidad y la gravedad son muy drásticas. Cada día es diferente en comparación con hace años, y cualquiera de esas cosas tiene el potencial de generar disrupciones”.
Esa variabilidad es donde debemos asegurarnos de educar al consejo de administración, para que sepan cómo y dónde profundizar, y asegurarnos de que tenemos esa cobertura de arriba abajo. También debemos informarles de lo que estamos haciendo al respecto e informarles periódicamente sobre las iniciativas clave que están reduciendo el riesgo y garantizando una organización resiliente. Esperemos que esas cosas reduzcan la gravedad y la probabilidad de las disrupciones que él mencionó.
Estamos llevando a cabo sesiones educativas y de capacitación. Además, tienen acceso total a mí. Almuerzo con ellos y les enseño cosas, lo cual es bastante divertido. Eligen un tema y dicen: “¿Podemos hablar un rato sobre esto?”. Si es algo que les preocupa, deberíamos hablar de ello. Foros como ese les proporcionan las herramientas que necesitan y les ofrecen opciones sobre hasta dónde quieren llegar.
Una de las cosas que los mantuvo en alerta máxima fue la directriz de la Comisión de Bolsa y Valores de Estados unidos (Securities and Exchange Commission, o SEC) sobre la capacitación del consejo de administración. Todos nos la tomamos muy en serio y la aprovechamos como una oportunidad para aprender y mejorar nuestro juego colectivo.
También veo que nuestros nuevos miembros provienen de ámbitos relacionados con algún tipo de tecnología, y estamos en proceso de formar un nuevo comité tecnológico dentro del consejo. Estos nuevos miembros nos permiten tener más tiempo al aire y de mejor calidad con el consejo, sobre lo que finalmente informaré. Así es como pensamos conseguir esa cobertura, asegurándonos de que el consejo esté informado y proporcionándoles el contenido y la plataforma para que puedan hacer las preguntas adecuadas.
Katie Jenkins: Mi trabajo no consiste en exagerar ni subestimar el riesgo real; eso no aporta nada positivo. Lo que intento transmitir es la forma en que reconocemos el riesgo, lo calificamos y cuantificamos, y lo relacionamos con nuestras iniciativas para mostrar la reducción del riesgo y, con suerte, acelerar el valor real del negocio. Ya sea financiero, estratégico u operativo, mi trabajo consiste en representar y equilibrar con precisión el valor, el costo y el riesgo.
Una de las cosas que creo que hacemos bien es reconocer el papel de una evaluación independiente compartida con el consejo directivo como una buena práctica de gobernanza. Al menos una vez al año, obtengo los resultados de una evaluación independiente de la madurez global, utilizando un marco industrial coherente. Aunque este marco puede cambiar con el tiempo, proporciona una representación estándar, precisa y completa de nuestra madurez, que puedo usar como comparación con nuestro perfil de riesgo para determinar si estamos haciendo lo suficiente o si necesitamos ir más allá. Como mínimo, nuestro consejo puede ver una progresión positiva en nuestra postura de seguridad a medida que realizamos esfuerzos específicos para mejorarla. También hay un benchmark que nos permite ver dónde nos situamos dentro de nuestro grupo de pares en nuestro sector. Si bien la evaluación y el benchmark no son una solución milagrosa para identificar todos nuestros problemas, al menos ayudan a proporcionar un marco en el que el consejo de administración puede reflexionar sobre nuestras capacidades frente a nuestros riesgos, y luego yo puedo conversar con el consejo sobre lo que estamos haciendo al respecto.
Justin Greis: ¿Qué opinan sobre la gobernanza y la presentación de informes sobre ciberseguridad dentro de una organización global y matricial?
Noopur Davis: Sin duda, es complicado. Uno de los consejos de administración en los que participo tiene un comité de tecnología, y el otro tiene un comité cibernético como subcomité del comité de auditoría. Estos comités reflejan las necesidades de la empresa. En Comcast, al ser una empresa tan diversificada y centrada en la tecnología, esta forma parte de todas las conversaciones.
Nuestra forma de gobernanza es con representantes de las tres grandes partes de Comcast. Está la Comcast en la que todos piensan; está NBCUniversal, que se dedica a las noticias, el entretenimiento, los parques y los estudios cinematográficos; y luego está Sky en Europa. Cada unidad organizativa cuenta con un CISO responsable de la ciberseguridad y un consejo correspondiente encargado de la supervisión, ya que cada una de esas empresas tiene un perfil de riesgo único, aunque, en muchos sentidos, compartido.
Siempre que nos reunimos, contamos con la presencia de los tres grupos. Cada uno habla de su riesgo particular y de su área. Luego, hablamos de los riesgos comunes, como la IA, y de lo que estamos haciendo al respecto.
Por ejemplo, cuando hablamos de IA, discutimos qué significa, cuáles son sus oportunidades y riesgos, y cómo se supervisa en cada empresa. A continuación, determinamos los estándares, políticas y directrices comunes a las tres. Esto funciona bien. Contamos con una capa común de gobernanza de alto nivel y una capa específica para cada unidad de negocio, porque, como pueden imaginar, los riesgos para los parques temáticos son muy diferentes de los riesgos para nuestra infraestructura de banda ancha.
Justin Greis: Como consejo de administración, ¿qué piensan sobre la IA? Y como miembros del consejo, ¿cómo la gestionan? Y a los CISOs, ¿cómo están posicionando la IA desde su puesto?
Matt Rogers: La IA es un excelente ejemplo de dónde aparecen los riesgos, cómo aparecen en nuevos lugares y las nuevas caras que introducen esos riegos de forma habitual. Son las caras las que importan. El CISO y el departamento tecnológico solo pueden proteger a la empresa hasta cierto punto, porque son los líderes en primera línea los que se enfrentan directamente a los riesgos y tienen la oportunidad de mitigar cualquier riesgo potencial.
Por ejemplo, hay que dedicar tiempo al personal de la cadena de suministro, ya que los proveedores pueden presentar toda una serie de riesgos. Hay que dedicar tiempo al personal de Recursos Humanos, ya que ahora hay personas que se hacen pasar por otras en las salas de entrevista en línea. Los consejos de administración deben empoderar a los líderes directivos de toda la empresa de una manera diferente para garantizar que sean capaces de utilizar la tecnología y, al mismo tiempo, gestionar la exposición al riesgo.
Esto significa garantizar que los líderes cuenten con las herramientas necesarias para proteger a la empresa y enseñarles a estar alertas, porque la tecnología es solo una herramienta. La dirección debe estar a la vanguardia de la resolución del problema.
La IA está en todas partes, y una tecnología tan omnipresente plantea interrogantes sobre cómo las empresas y los consejos directivos gestionan los datos, qué permitimos que entre y qué hacemos con la IA. Las personas utilizan la IA de muchas formas diferentes, y la tecnología no siempre va a detectar los riesgos para evitar problemas para ellas y sus organizaciones. Necesitamos un conjunto completo de líderes en toda la organización que proporcionen la primera línea de defensa. Este es mi ejemplo de cobertura “aire-tierra”. Se necesita gente en la primera línea que realmente entienda la IA y sea capaz de plantear las cuestiones adecuadas. De lo contrario, no nos daremos cuenta hasta que sea demasiado tarde. Y se necesitan personas en la cúpula que escuchen, comprendan y tomen las medidas correctas basándose en las aportaciones de sus equipos. En este mundo, así es como se empodera a la primera línea; se necesitan líderes que escuchen y actúen, sobre todo porque puede que no se manifieste como un problema tecnológico.
Marco Maiurano: Cuando pienso en la IA y en la tecnología en general, creo que es responsabilidad del CISO resolverlo todo. Lo que he estado haciendo con mi consejo directivo es dejar claro que no se trata solo del CISO, sino de los datos y de lo que queremos hacer con ellos. Implica al director de datos. Se trata de la segunda línea de defensa. Se trata de la gestión del riesgo de los modelos: cómo estamos implementando la gobernanza y la supervisión. Se trata de los aspectos legales, porque hay cosas —especialmente en la banca, un sector altamente regulado— que pueden causarnos muchos problemas a nosotros y a nuestros clientes.
En el caso de la IA, se trata de garantizar que los consejos de administración comprendan las oportunidades que nos ofrece y los obstáculos que debemos evitar. Me entusiasma la IA, pero soy consciente de los riesgos que conlleva. Como función de primera línea, podemos transmitir al consejo la confianza de que sabemos cómo gestionarla, cómo gobernarla, cómo identificar dónde están los riesgos y, sobre todo, cómo identificar lo que no sabemos y dónde hay que trabajar más.
Nora Denzel: La NACD utiliza el término “gobernanza tecnológica” en lugar de “IA”, porque sabemos que mañana por la mañana alguien presentará una nueva innovación que puede introducir un conjunto de riesgos completamente nuevo. Hacemos énfasis en la importancia de la claridad sobre el papel del consejo directivo en la gobernanza, y después de que un consejo tome medidas de supervisión, debe actualizar sus estatutos para que se cumplan. Cada uno de los comités tiene una función diferente, pero la supervisión tecnológica avanza más rápido que cualquier otra que se me ocurra.
El mayor riesgo que se puede correr en los próximos cinco años es no asumir un riesgo tecnológico. He visto a personas “nerviosas” en los consejos, incluyendo algunas que dicen: “Deberíamos decirles a los empleados que no usen ChatGPT”. No se puede actuar así. Los consejos de administración líderes van más allá del cumplimiento normativo; pasan a la ofensiva estratégica. Estos consejos están considerando la necesidad de crear un comité de tecnología o innovación para ayudar a todo el consejo a ser proactivo y adelantarse a los problemas.
También estamos diciendo a los consejos que se involucren y se autogobiernen, porque la tecnología avanza más rápido que la regulación. Pensemos en cuando se introdujeron por primera vez las bolsas de aire para hacer los coches más seguros. La tecnología inicial de las bolsas de aire no estaba diseñada para mujeres y niños, y el resultado de esa decisión fue desastroso. La regulación finalmente se abrió paso en la industria automotriz, brindando a los consumidores las bolsas de aire que conocemos hoy. Esta es una advertencia para los consejos que piensan que ser proactivos en materia cibernética y tecnológica es simplemente un plus no indispensable.
Por desgracia, no creo que la mayoría de los consejos estén a ese nivel. El 16 por ciento de las empresas de la lista Fortune 500 cuentan con comités de tecnología actualmente. Creo que superará ampliamente el 20 por ciento cuando termine la temporada de representación. No digo que tener un comité tecnológico sea lo correcto, y desde luego no es la panacea, pero la NACD plantea esta opción para que los consejos puedan decidir por sí mismos.
También les decimos a los consejos directivos: “Enfóquense en sus datos. Enfóquense en su deuda tecnológica”. Nadie quiere hablar de esto hasta que haya una interrupción del servicio de cuatro días, por lo que comunicamos con frecuencia a los consejos que necesitan autogobernarse y capacitarse.
Los CISOs y los líderes tecnológicos pueden ayudar a los consejos a mejorar sus conocimientos para que puedan anticiparse a las oportunidades y los riesgos tecnológicos de forma significativa. La mayoría de los comités de nominaciones y gobernanza (nominating and governance, o nom-gov) incluyen capacitación en todas las reuniones del consejo, y los líderes tecnológicos deberían colaborar con el presidente de dicho comité. Sin embargo, los consejos saben que la dirección también está aprendiendo y poniéndose al día constantemente, por lo que adoptarán un enfoque de “confiar y luego verificar” con respecto a lo que aprenden.
Noopur Davis: Depende de en qué punto del camino se encuentre la empresa. Para una empresa que está pasando por una transformación tecnológica, el comité de tecnología puede centrarse en los presupuestos, ya que están invirtiendo cientos de millones de dólares en una transformación que cambiará el negocio.
Como miembros del consejo de administración, nos preguntamos: ¿Cuál es la deuda tecnológica? ¿Cuál es nuestro plan para salir de ella? ¿Cómo adoptamos las tecnologías modernas? Nos aseguramos de que la empresa reflexione sobre ello. Pero si formas parte del comité de tecnología de una empresa madura que no está llevando a cabo una gran transformación, pregúntate: “¿Por qué no?”. La tecnología está revolucionando tantas industrias que son pocos los que no están evaluando su impacto y realizando los cambios poco después.