La reciente salida del campeón de tenis Novak Djokovic de la Asociación de Tenistas Profesionales (PTPA), una organización que ayudó a establecer en 2020, revela fallos de gobernanza que los líderes de ciberseguridad deberían estudiar detenidamente. La decisión de Djokovic de distanciarse del sindicato de jugadores que cofundó surge de lo que describió como problemas fundamentales con la transparencia y las estructuras de gobernanza, problemas que reflejan los mismos desafíos que enfrentan los ejecutivos de ciberseguridad al construir o reformar programas de seguridad dentro de organizaciones complejas.
La crisis paralela de gobernanza
Cuando Djokovic y su compañero tenista Vasek Pospisil lanzaron la PTPA, su misión era crear una voz verdaderamente independiente para los tenistas, abordando preocupaciones de larga data sobre cómo los organismos rectores del deporte representaban los intereses de los atletas. Seis años después, la salida de Djokovic señala que la organización misma ha sucumbido a las mismas deficiencias de gobernanza que buscaba remediar. Según múltiples informes, la estrella del tenis expresó preocupaciones sobre los procesos de toma de decisiones, la transparencia en las operaciones y los estándares generales de gobernanza dentro de la PTPA.
Este patrón debería sonar familiar para los profesionales de la ciberseguridad. ¿Con qué frecuencia los equipos de seguridad han establecido nuevos marcos de gobernanza, solo para descubrir que los marcos mismos carecen de la transparencia y responsabilidad necesarias para ser efectivos? La situación de la PTPA demuestra que la gobernanza no se trata simplemente de crear estructuras, sino de mantener su integridad a través de un liderazgo ético consistente y operaciones transparentes.
Lecciones de gobernanza en ciberseguridad desde el deporte
Para los Directores de Seguridad de la Información (CISOs) y líderes de seguridad, la experiencia de Djokovic ofrece varios insights críticos:
- La transparencia fundacional importa: La PTPA se creó para abordar brechas de transparencia en la gobernanza del tenis, pero aparentemente desarrolló sus propios problemas de transparencia. De manera similar, los programas de ciberseguridad a menudo comienzan con promesas de informes claros y comunicación abierta sobre posturas de seguridad, solo para volverse opacos con el tiempo a medida que aumentan las presiones políticas. Mantener la transparencia requiere un esfuerzo deliberado y continuo, así como salvaguardas institucionales.
- Las estructuras de gobernanza necesitan validación independiente: Las preocupaciones de Djokovic sugieren mecanismos insuficientes de controles y equilibrios dentro del modelo de gobernanza de la PTPA. En ciberseguridad, los marcos de gobernanza deben incluir mecanismos de validación independiente, ya sea a través de funciones de auditoría interna, evaluaciones externas o comités de supervisión interdepartamentales. Sin estos, la gobernanza de seguridad puede volverse insular e irresponsable.
- La responsabilidad del liderazgo no puede delegarse indefinidamente: Como cofundador, Djokovic mantuvo la autoridad moral para señalar fallas de gobernanza, pero su salida eventual indica que los mecanismos de responsabilidad dentro de la organización eran insuficientes. Los líderes de ciberseguridad deben asegurar que los modelos de gobernanza definan claramente la responsabilidad en todos los niveles, con rutas de escalación que no requieran acciones individuales heroicas para abordar problemas sistémicos.
El déficit de confianza organizacional
En esencia, la salida de Djokovic de la PTPA representa una ruptura en la confianza organizacional, un fenómeno que los equipos de ciberseguridad conocen bien. Cuando la gobernanza de seguridad carece de transparencia, las partes interesadas (ya sean empleados, miembros de la junta o clientes) comienzan a cuestionar si las decisiones de seguridad sirven a los intereses organizacionales o a otras agendas. Este déficit de confianza socava los programas de seguridad más efectivamente que cualquier vulnerabilidad técnica.
Las investigaciones muestran consistentemente que las organizaciones con marcos de gobernanza de seguridad transparentes experimentan un mayor cumplimiento de las políticas de seguridad, una mejor coordinación en la respuesta a incidentes y una gestión de riesgos más efectiva. Sin embargo, muchas organizaciones continúan tratando la gobernanza de seguridad como una casilla de verificación de cumplimiento en lugar de un mecanismo de construcción de confianza.
Construyendo una gobernanza de seguridad resiliente
Aprendiendo del ejemplo de la PTPA, los líderes de ciberseguridad deberían enfocarse en varias áreas clave:
- Establecer derechos de decisión claros desde el inicio: Definir quién toma qué decisiones de seguridad, con qué aportes y a través de qué procesos. Documentar estos protocolos y hacerlos accesibles a las partes interesadas relevantes.
- Implementar mecanismos de informes transparentes: Los informes regulares y sinceros sobre métricas de seguridad, incidentes y decisiones de riesgo construyen confianza organizacional. Evitar la "seguridad por oscuridad" en asuntos de gobernanza.
- Crear estructuras de supervisión independientes: La gobernanza de seguridad debería incluir perspectivas más allá del equipo de seguridad en sí: legal, cumplimiento, líderes de unidades de negocio y potencialmente asesores externos.
- Planificar para transiciones de liderazgo: Los modelos de gobernanza deben sobrevivir a los cambios de personal. Los procesos documentados, la planificación clara de sucesión y el conocimiento institucionalizado previenen la degradación de la gobernanza cuando individuos clave se marchan.
Las implicaciones más amplias para la cultura de seguridad
La postura pública de Djokovic sobre las fallas de gobernanza, a pesar de su inversión personal en la organización, modela el liderazgo ético requerido en ciberseguridad. Los profesionales de seguridad a menudo enfrentan presión para ocultar vulnerabilidades, minimizar incidentes o eludir la gobernanza por conveniencia. La situación de la PTPA nos recuerda que la seguridad sostenible requiere líderes dispuestos a defender los estándares de gobernanza incluso cuando es inconveniente.
A medida que la ciberseguridad se vuelve cada vez más central para la viabilidad organizacional, el campo debe aprender de los fracasos de gobernanza en todos los sectores. El caso de la PTPA demuestra que los problemas de gobernanza son humanos y organizacionales, no meramente técnicos, y que pueden afectar a cualquier institución, independientemente de sus intenciones originales.
Avanzando con integridad
La lección final para los líderes de ciberseguridad es que la gobernanza y la transparencia no son preocupaciones secundarias a abordar después de establecer controles técnicos. Son elementos fundamentales que determinan si los programas de seguridad ganarán y mantendrán la confianza organizacional. Al igual que Djokovic descubriendo que su asociación de jugadores había desarrollado los mismos problemas de gobernanza que fue creada para resolver, los equipos de seguridad deben examinar continuamente sus propias estructuras de gobernanza en busca de brechas de transparencia y fallas de responsabilidad.
En una era donde los incidentes de ciberseguridad aparecen regularmente en los titulares y erosionan la confianza pública, las lecciones de gobernanza de esta organización deportiva ofrecen una guía valiosa. Al construir una gobernanza de seguridad con la misma transparencia y responsabilidad que exigimos de otras funciones organizacionales, los líderes de ciberseguridad pueden crear programas más resilientes y confiables que resistan tanto los desafíos técnicos como las presiones organizacionales.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.