El 25 de noviembre de 2025, la SEC informó que una firma de valores nacional había resuelto cargos por fallas de seguridad cibernética que expusieron la información personal de alrededor de 8.500 personas. Se descubrió que la organización carecía de políticas y controles de seguridad adecuados, y muchas sucursales no implementaron medidas clave como la autenticación multifactor y los planes de respuesta a incidentes. Como resultado, la empresa fue censurada y pagó una multa de 325.000 dólares.
La acción de cumplimiento se centró no sólo en la infracción, sino también en la gobernanza insuficiente de la empresa y la mala gestión del riesgo cibernético, destacando que los reguladores están examinando cómo las organizaciones supervisan el riesgo cibernético.
El caso demuestra que la digitalización y las operaciones interconectadas aumentan los riesgos de responsabilidad y, a medida que la IA se vuelve más importante, las empresas deben abordar el riesgo cibernético en todas las funciones comerciales.
Para los líderes empresariales, este cambio eleva la ciberseguridad de una lista de verificación técnica a una disciplina central de gestión de riesgos. Proteger la empresa moderna ahora requiere responsabilidad de la alta dirección, una gobernanza clara y estrategias mensurables que fortalezcan la resiliencia en toda la organización.
Cómo doyber El riesgo afecta a toda la organización.
Los incidentes cibernéticos rara vez quedan contenidos en un solo departamento. Una infracción que comienza con un inicio de sesión comprometido puede extenderse rápidamente, interrumpiendo las operaciones, retrasando la producción y obligando a tomar decisiones difíciles sobre la comunicación con el cliente y la respuesta regulatoria. Debido a ese alcance, el riesgo cibernético da forma cada vez más a las principales iniciativas comerciales, desde proyectos de transformación digital hasta nuevas asociaciones y planes de expansión.
Para muchas organizaciones, el panorama de riesgos también se extiende mucho más allá de los sistemas de TI. Los ecosistemas de proveedores, las plataformas de terceros y las cadenas de suministro interconectadas introducen riesgos que los equipos de tecnología por sí solos no pueden supervisar por completo. Gestionar esos riesgos requiere coordinación en toda la empresa y un liderazgo claro por parte del equipo ejecutivo.
Cuando ocurren incidentes, la respuesta también va más allá de la remediación técnica. Los equipos legales abordan las obligaciones regulatorias, los líderes de comunicaciones administran los mensajes de las partes interesadas y los equipos operativos se concentran en mantener la continuidad. Como tal, una respuesta eficaz depende de la preparación en toda la organización, no solo dentro de TI.
Responsabilidad ejecutiva en criesgo cibernético
Debido a que los incidentes cibernéticos pueden alterar múltiples partes de la organización, muchos líderes empresariales están reconsiderando cómo abordan el riesgo cibernético. Un solo evento puede dañar la reputación, alterar el servicio al cliente y crear responsabilidades legales y financieras que repercuten en toda la empresa.
«Un desafío exclusivo de la ciberseguridad es la velocidad necesaria para responder», dice Ricardo ReatiJefe de Cyber en SpearTip, una empresa de Zurich. «Esa dinámica es diferente de otros riesgos corporativos. Todos en la cadena de valor de la organización deben comprender el proceso y saber exactamente qué deben hacer en el momento. La respuesta a incidentes debe ser holística e involucrar a múltiples unidades de negocios para que sea efectiva».
El cambio actual identifica la ciberseguridad como una disciplina central de nivel C-suite en lugar de una lista de verificación tecnológica para TI. El cambio está ocurriendo, pero es lento. «Muchos todavía piensan que la ciberseguridad es una cuestión de TI. Creen que si invierto, invierto dinero en TI, tengo mis controles y cumplo con los marcos, entonces ya está», explica Reati.
Dos desafíos limitan la eficacia de muchos programas de ciberseguridad. En primer lugar, el simple hecho de aumentar la inversión en tecnología no reduce automáticamente el riesgo. Las organizaciones pueden acumular herramientas sin mejorar la integración, la visibilidad o la resiliencia general. En segundo lugar, cumplir con los requisitos de cumplimiento no garantiza la protección contra amenazas en evolución, que a menudo se mueven más rápido de lo que los marcos estáticos pueden adaptarse.
Por ese motivo, las organizaciones líderes tratan la ciberseguridad como un riesgo empresarial mensurable. La gestión eficaz de riesgos comienza con la comprensión de la exposición actual, la cuantificación del impacto potencial y la alineación de los controles con las áreas de mayor vulnerabilidad. Este enfoque respalda una toma de decisiones más clara, una gobernanza más sólida y una planificación de la continuidad del negocio más resiliente.
Qué esto significa para líderes empresariales
La mayoría de los líderes empresariales comprenden la gestión de riesgos tradicional. Sin embargo, la ciberseguridad introduce un nivel de complejidad que puede dificultar la evaluación y priorización de la exposición. Sin una visibilidad clara, las organizaciones pueden depender de puntos de referencia de pares o comparaciones externas al tomar decisiones.
«Necesitamos comenzar a discutir lo cibernético a nivel ejecutivo, incorporando controles desde el principio y teniendo en cuenta lo cibernético antes en las decisiones estratégicas importantes. Creo que vemos que ya hay muchas conversaciones en la junta directiva, lo cual es un paso positivo en esta dirección», dice Riccardo Reati.
Cinco formas en que los líderes pueden fortalecer la resiliencia cibernética
¿Listo para comenzar a gestionar el riesgo desde una perspectiva de liderazgo empresarial? A continuación se ofrecen algunas sugerencias útiles para los responsables de la toma de decisiones de la alta dirección:
- Integrar la ciberseguridad en la estrategia empresarial: La ciberseguridad y las estrategias comerciales deben alinearse por igual en todos los ámbitos, y la seguridad ocupa una posición sólida en relación con la planificación de la continuidad del negocio. El liderazgo debe incorporar la ciberseguridad en las estrategias y procesos empresariales desde el principio, en lugar de considerarlos como una ocurrencia tardía para marcar una casilla.
- Adoptar un enfoque cuantificable para la gestión de riesgos: La gestión de riesgos eficaz comienza con la cuantificación para una comprensión clara de los riesgos existentes. Recuerde definir métricas clave y monitorear los indicadores clave de desempeño para medir la efectividad de su programa.
- Haga preguntas críticas: La cuantificación del riesgo comienza cuando el liderazgo hace preguntas críticas. ¿Dónde están nuestras mayores áreas de vulnerabilidad al riesgo? ¿Cuál es el impacto de los controles actuales? ¿Cuán resilientes somos en términos de recuperación? ¿Cuánto nos costaría un cierre?
- Invertir en una sólida formación en ciberseguridad: Los informes sugieren El 60% de las infracciones implican errores humanospor lo que seleccionar un programa de capacitación en ciberseguridad de alta calidad debería ser una prioridad para todas las organizaciones hoy en día.
- Cree una cultura de preparación para toda la empresa consciente de la seguridad: La seguridad debe verse como un activo empresarial, donde los empleados comparten la responsabilidad y se sienten seguros al informar problemas. La cultura debe enfatizar la preparación unificada, con todos conscientes de sus responsabilidades en un incidente cibernético.
Por qué las organizaciones recurren a especialistas en riesgos cibernéticos
A medida que el riesgo cibernético se convierte en una responsabilidad central del liderazgo, muchas organizaciones se asocian con asesores especializados para mejorar sus capacidades. Estos especialistas aportan experiencia en gestión de riesgos, conocimientos basados en datos y enfoques estructurados para la cuantificación y la planificación. Para los líderes que enfrentan amenazas en evolución y aumentan la rendición de cuentas, la colaboración externa puede ayudar a fortalecer la gobernanza, respaldar decisiones informadas y mejorar la resiliencia organizacional.
“Si bien muchas empresas cuentan con el personal adecuado para gestionar los riesgos internos, necesitan capacidad de apoyo para los nuevos riesgos cibernéticos emergentes, como los riesgos de terceros o de fusiones y adquisiciones”, afirma Reati. «La gestión de los riesgos emergentes requiere una concentración significativa y puede sobrecargar los recursos internos».
Esta creciente complejidad está impulsando a más organizaciones a buscar experiencia externa que complemente los equipos internos y fortalezca las estrategias generales de gestión de riesgos.
SpearTip ayuda a las organizaciones a fortalecer la resiliencia cibernética mediante capacidades de asesoramiento sobre riesgos, respuesta a incidentes y operaciones de seguridad. Descubra cómo su organización puede adoptar una Enfoque más estratégico para gestionar el riesgo cibernético..
Fuente