Better Boards, Real Value
Directorios al Descubierto – Desafíos reales de Directorios reales (y cómo superarlos)
El momento incómodo que revela todo
La escena se repite en salas de directorio por toda América Latina: El CIO presenta su reporte trimestral de ciberseguridad. Treinta diapositivas con gráficos coloridos sobre “parches aplicados”, “incidentes contenidos” y “cumplimiento normativo alcanzado”. Los directores asienten. Algunos revisan sus teléfonos. El presidente agradece y se pasa al siguiente punto: resultados financieros.
Tres meses después, un ataque de ransomware paraliza la operación completa. Las conversaciones de WhatsApp con los atacantes se filtran a la prensa. Los clientes huyen. El seguro cibernético cubre apenas el 25% de las pérdidas. Y en la reunión de emergencia, la pregunta inevitable: ¿Cómo llegamos aquí si teníamos “todo controlado”?
La gran mentira que nos contamos
Los trabajos del profesor Jeimy Cano (2025) sobre permanencia estratégica cibernética revelan una verdad incómoda: la mayoría de las organizaciones trata la ciberseguridad como un problema técnico cuando es, en realidad, una amenaza existencial que el directorio debe gobernar como tal.
El error comienza con el lenguaje. Cuando los directorios hablan de “seguridad informática” o “riesgos de TI”, están inconscientemente delegando la responsabilidad al departamento técnico. Pero un ataque cibernético exitoso no destruye servidores, destruye la promesa de valor de la empresa. No afecta el firewall, afecta la confianza de los clientes, la reputación con reguladores y la viabilidad del negocio en el mediano plazo.
Los cuatro tipos de organizaciones ante la crisis cibernética
Cano propone una matriz reveladora que clasifica a las organizaciones según su agilidad (capacidad de anticipar y responder rápidamente) y su resiliencia (capacidad de absorber el impacto y continuar operando). Los directorios latinoamericanos deben preguntarse honestamente en qué cuadrante están:
Organizaciones vulnerables (baja agilidad, baja resiliencia): Son la mayoría de las empresas familiares tradicionales. Sistemas desactualizados, sin redundancia, sin seguros adecuados. Un ransomware las paraliza completamente. No porque les falte presupuesto, sino porque el directorio nunca priorizó el tema más allá del cumplimiento básico.
Organizaciones lentas (baja agilidad, alta resiliencia): Empresas establecidas con capital de reserva y activos físicos robustos, pero incapaces de detectar nuevas amenazas o actualizar sus defensas. Pueden sobrevivir a una crisis, pero a un costo altísimo en reputación y participación de mercado.
Organizaciones atletas (alta agilidad, baja resiliencia): Startups y fintechs que invierten en detección avanzada pero dependen de un único proveedor de nube. Un ataque dirigido a ese eslabón crítico las saca del mercado en semanas.
Organizaciones con permanencia estratégica cibernética (alta agilidad, alta resiliencia): Las que entienden la ciberseguridad como ventaja competitiva. Sus directorios discuten escenarios de crisis, simulan respuestas, tienen redundancia operativa real y, crítico, ven cada ataque como oportunidad de aprendizaje.
La trampa latinoamericana: Entre la negación y la improvisación
En el contexto de empresas familiares latinoamericanas, esta desconexión es aún más peligrosa. La alta concentración de propiedad crea una falsa sensación de control: “Conocemos el negocio, confiamos en nuestra gente, esto no nos va a pasar”. Marcos regulatorios menos estrictos permiten postergar inversiones críticas. Y cuando ocurre la crisis, la respuesta es puramente reactiva: contratar consultores externos, cambiar al CIO, comprar tecnología sin estrategia.
Pero la permanencia estratégica cibernética requiere exactamente lo opuesto: anticipación, preparación sistemática y, sobre todo, un directorio que entienda que no está supervisando “sistemas de información” sino defendiendo la viabilidad futura de la empresa.
Tres acciones para directorios que quieren dejar de ser ciegos
1. Reformular la pregunta en cada sesión: En lugar de “¿Estamos cumpliendo con seguridad?”, preguntar: “¿Qué ataque exitoso sacaría a esta empresa del negocio y qué tan preparados estamos para esa realidad?”
2. Simular la crisis antes de que ocurra: Dedicar una sesión completa del directorio a simular un ransomware exitoso. Sin diapositivas técnicas, solo decisiones: ¿Pagamos? ¿Cómo comunicamos? ¿Quién habla con reguladores? ¿Cuánto tiempo podemos operar sin sistemas? Las respuestas revelarán todos los puntos ciegos.
3. Incorporar la perspectiva cibernética al apetito de riesgo: El directorio debe definir explícitamente qué nivel de riesgo cibernético está dispuesto a aceptar para cada iniciativa estratégica. No es un tema del CISO, es una decisión de negocio que equilibra velocidad, innovación y exposición.
Para reflexionar en su directorio:
-
¿Cuánto tiempo podría operar su empresa si mañana todos los sistemas digitales quedaran inaccesibles por dos semanas?
-
¿El directorio ha discutido alguna vez qué información crítica comparten con terceros y qué pasaría si esos terceros son comprometidos?
-
Considerando la concentración de propiedad familiar en su empresa, ¿cómo aseguran que las decisiones sobre ciberseguridad no sean postergadas por relaciones personales con proveedores o ejecutivos?
La próxima crisis no preguntará si estaban preparados
Los directorios que siguen pensando que la ciberseguridad es “un tema de TI” están, literalmente, jugando a la ruleta rusa con la supervivencia de sus empresas. No porque les falte tecnología, sino porque les falta gobernanza. La pregunta ya no es si vendrá la crisis cibernética, sino si el directorio estará preparado para tomar las decisiones críticas en las primeras 48 horas que determinarán el futuro de la organización.
P.D. En las autopsias corporativas de empresas que no sobrevivieron ataques cibernéticos, nunca se concluye: “Les faltó un mejor firewall”. Siempre se lee: “El directorio no entendió la naturaleza del riesgo hasta que fue demasiado tarde”.
Referencias:
Cano, J. (2025). Crisis cibernética empresarial. Entre la agilidad y la resiliencia.