En el mundo de la inversión sostenible, las puntuaciones ESG (Ambiental, Social y de Gobernanza) se han convertido en el estándar de facto para medir la responsabilidad corporativa. Entre ellas, la puntuación de Gobernanza—o G-Score—se considera a menudo un indicador de lo bien que se gestiona una empresa. Pero para los profesionales de la ciberseguridad, confiar en estas puntuaciones es como usar un mapa de los años 90 para navegar por una ciudad moderna: omite las amenazas más críticas.
El problema es estructural. Los G-Scores suelen medir la diversidad del consejo, la compensación ejecutiva, los derechos de los accionistas y las estructuras del comité de auditoría. Aunque son importantes, rara vez capturan la realidad operativa de la gobernanza de la ciberseguridad. Una empresa puede obtener una puntuación alta en gobernanza ESG mientras sufre una cultura tóxica en la sala de juntas, un CEO que elude los protocolos de seguridad o un equipo de cumplimiento que aprueba políticas sin hacerlas cumplir.
Consideremos el caso de SpaceX. La empresa aeroespacial siempre ha presumido de un sólido marco de gobernanza, pero su reciente estrategia de OPI revela una historia diferente. El plan está diseñado para retener el control desmedido del CEO Elon Musk, neutralizando efectivamente la capacidad del consejo para desafiar a la dirección en decisiones clave, incluidas las inversiones en ciberseguridad. Un G-Score alto probablemente pasaría por alto esta concentración de poder, lo que supone un riesgo directo para la gobernanza de la seguridad. Cuando una sola persona puede anular las recomendaciones de seguridad, todo el marco de gestión de riesgos se vuelve frágil.
Del mismo modo, el cambio repentino de director en AstraZeneca—donde Rene Haas renunció al consejo—plantea dudas sobre la estabilidad de la gobernanza. Aunque la empresa lo presentó como una transición rutinaria, cambios tan abruptos pueden indicar problemas más profundos. En ciberseguridad, la continuidad del consejo es fundamental. Cuando los directores se van inesperadamente, se puede perder el conocimiento institucional sobre la supervisión de riesgos, dejando vacíos en la planificación de respuesta a incidentes y la aplicación de políticas.
En el otro extremo del espectro, la retórica política sobre el 'buen gobierno' también puede ser engañosa. En India, el diputado del DMK, Dayanidhi Maran, aseguró recientemente al público que 'el buen gobierno continuará', una declaración que suena tranquilizadora pero carece de métricas específicas y verificables. Cuando la gobernanza se convierte en un tema de conversación en lugar de una práctica medible, se crea un espejismo del que tanto inversores como equipos de seguridad pueden ser víctimas.
El problema central es que los G-Scores miran hacia atrás y son estáticos. Se basan en informes anuales, divulgaciones públicas y datos auto-reportados. No capturan la dinámica en tiempo real de la sala de juntas, los tiempos de respuesta a incidentes de ciberseguridad ni la efectividad de los programas de formación en seguridad. Una empresa puede tener un G-Score estelar en un trimestre y sufrir una gran violación de datos al siguiente, simplemente porque la puntuación nunca midió la higiene de seguridad real.
Para los líderes de ciberseguridad, esto significa que se necesita un cambio fundamental. En lugar de confiar en las calificaciones ESG como indicador de la salud de la gobernanza, los equipos de seguridad deberían abogar por evaluaciones de gobernanza dinámicas que incluyan:
- Métricas de participación del consejo en tiempo real: ¿Con qué frecuencia el consejo discute sobre ciberseguridad? ¿Existen reuniones dedicadas del comité de seguridad?
- Responsabilidad del liderazgo: ¿Existe una cadena de mando clara para las decisiones de seguridad? ¿Puede un CISO escalar problemas directamente al consejo?
- Datos de aplicación de políticas: ¿Se siguen realmente las políticas de seguridad? ¿Cuál es la tasa de excepciones de cumplimiento?
- Gobernanza de respuesta a incidentes: ¿Con qué rapidez se notifica al consejo sobre las violaciones? ¿Existe un protocolo de gestión de crisis preacordado?
Los inversores también deben exigir datos más granulares. El ecosistema ESG actual está dominado por agencias de calificación que agregan datos sin contexto. Un G-Score de 8/10 de una agencia puede significar algo completamente diferente de otra. Sin estandarización y transparencia, estas puntuaciones siguen siendo un espejismo.
En conclusión, las puntuaciones de gobernanza no son inútiles, pero son incompletas. Proporcionan un punto de partida útil, pero nunca deberían ser la última palabra sobre el riesgo de ciberseguridad. A medida que la industria madura, debemos pasar de listas de verificación estáticas a evaluaciones de gobernanza dinámicas y basadas en evidencia. Hasta entonces, los profesionales de la ciberseguridad deberían tratar los G-Scores altos con un escepticismo saludable y construir sus propios marcos de evaluación de riesgos que reflejen el estado real—no el reportado—de la gobernanza corporativa.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.