¿Cómo hacer de la ciberseguridad un activo estratégico?
La investigación del MIT Sloan muestra cómo hacer que la ciberseguridad pase de ser una tarea de TI a una prioridad estratégica puede aumentar la resiliencia, descubrir oportunidades y dar a las empresas una ventaja competitiva en tiempos de disrupción.
Ciberseguridad como activo estratégico según el MIT Sloan
La prestigiosa Escuela de Administración y Dirección de Empresas Sloan del MIT publica una serie de estudios frente a la situación excepcional que estamos viviendo y analiza cómo las compañías, al enfrentarse a una disrupción e incertidumbre sin precedentes, deben ampliar el alcance de su estrategia si quieren sobrevivir y prosperar.
El estudio enfatiza que al elevar la ciberseguridad de necesidad operativa a fuente de oportunidades, los líderes de las organizaciones pueden impulsar la resiliencia y la ventaja competitiva.
La falta de preparación ante ciberataques
A pesar de los numerosos ejemplos de devastadores ciberataques contra todo tipo de organizaciones, muchas empresas —incluidas algunas de las más grandes del mundo— siguen sin estar preparadas.
Aunque los ejecutivos reconocen la ciberseguridad como parte importante de la planificación de TI, no comprenden su carácter estratégico como amenaza grave para las operaciones y las ganancias, pero también como una oportunidad.
Una estrategia de ciberseguridad madura puede:
- Asegurar activos críticos.
- Mejorar el aprendizaje organizacional.
- Detectar y aprovechar nuevas oportunidades estratégicas.
¿Por qué los ejecutivos tratan la ciberseguridad como operativa y no estratégica?
Tradicionalmente, la ciberseguridad se delega al área de TI, considerada más como un proveedor de servicios que como un generador de ventaja estratégica.
Esto lleva a:
- Falta de involucramiento en niveles de dirección.
- Percepción errónea de los ciberataques como eventos aleatorios.
- Falta de integración de la ciberseguridad en los planes estratégicos.
Cómo influyen la psicología y los sesgos en la toma de decisiones
Los directivos tienden a priorizar áreas en las que tienen experiencia previa (finanzas, marketing, ingeniería), dejando fuera la ciberseguridad.
La ausencia de ataques graves refuerza la falsa sensación de seguridad, lo que mantiene las prioridades sin cambios.
Ejemplos como NotPetya han cambiado esta visión, evidenciando que la falta de preparación es un riesgo estratégico.
Cambiando la narrativa sobre la ciberseguridad
Las empresas que han vivido ciberataques experimentan un cambio de mentalidad:
- De operativa a estratégica.
- De reactiva a proactiva.
- De impulsada por amenazas a impulsada por oportunidades.
Antes de sufrir un ataque, la inversión en ciberseguridad se percibe como un gasto que “solo sirve si pasa algo”. Después de un ataque, se entiende como una inversión estratégica para fortalecer capacidades centrales.
Mejorar el aprendizaje organizacional
Los ciberataques exponen debilidades más allá de la seguridad:
- Desarrollo de liderazgo.
- Comunicación externa.
- Innovación de procesos.
Por eso, desarrollar una estrategia integral de ciberseguridad también revela oportunidades y fortalezas ocultas.
Proactividad: la clave para la resiliencia
Las empresas que más daño sufrieron tras un ataque fueron aquellas que:
- Se centraron únicamente en la protección.
- Descuidaron elementos como la respuesta y la concienciación organizacional.
Adoptar una mentalidad estratégica hacia la ciberseguridad permite:
- Mejorar la resiliencia organizacional.
- Construir capacidades para una ventaja estratégica.
- Obtener métricas clave sobre ciberriesgo humano.
Suscríbete al boletín de Kymatio® y recibe consejos e insights sobre ciberseguridad directamente en tu correo.
