Autora: Julie C. Chatman, directora y directora ejecutiva de ResilientTech Advisors. Tomado de ISACA.org
Desde la salud y las finanzas hasta la tecnología global y los gobiernos, he visto repetirse una dinámica destructiva: un equipo presenta un nuevo producto, un esfuerzo de modernización o una iniciativa de IA con enorme potencial. El equipo de producto propone una nueva capacidad que podría expandir la participación de mercado. Las alianzas están listas, el modelo técnico es sólido y las señales de adopción temprana son fuertes.
Pero alguien pregunta: “¿Seguridad ya aprobó esto?”. De pronto, el impulso cambia. Suspiros. Retrasos. Una reunión de seguimiento. Y, finalmente, todo se ralentiza o se estanca. Esa suele ser la primera señal visible de que la ciberseguridad fue dejada de lado demasiado tiempo o incluida demasiado tarde para dar forma al camino.
En ese momento, la ciberseguridad parece un obstáculo. Y para el negocio, eso se traduce en el “Departamento del No”. Pero aquí está la verdad que muchas organizaciones no ven: un “no” desde ciberseguridad no siempre trata sobre seguridad. Con frecuencia se trata de postura, confianza y supervivencia. Y aunque pueda parecer un problema de liderazgo dentro del área de ciberseguridad, en realidad suele ser una señal a nivel de sistema, una que cada CEO, COO y CFO tiene el poder de influir.
La capacidad de proteger datos y propiedad intelectual se ha convertido en una ventaja competitiva. La digitalización de prácticamente todas las funciones, servicios y fuentes de ingresos significa que los datos son el activo más valioso. Y protegerlos está directamente conectado con la confianza de la marca, la retención de clientes y el acceso a los mercados.
Los ejecutivos inteligentes aprovechan la ciberseguridad para proteger el valor que están construyendo y así poder escalar.
Las fuerzas ocultas detrás de la resistencia en seguridad
Los líderes de ciberseguridad no se despiertan con la intención de bloquear el progreso del negocio. Pero muchos están condicionados a hacerlo. ¿Por qué?
Si no estás inmerso en la cultura de ciberseguridad, el “por qué” no es obvio, pero sí relevante. Hasta que no comprendas qué impulsa la resistencia, seguirás interpretándola mal y reaccionando de maneras que refuerzan la fricción que obstaculiza la innovación.
Empecemos por el origen: ¿de dónde vienen los CISOs y otros líderes de ciberseguridad actuales? Según una encuesta global de Heidrick & Struggles, solo el 14% tiene experiencia en producto, ingeniería o diseño. La mayoría proviene de gobernanza, cumplimiento o infraestructura de TI, dominios donde el rigor y el control son esenciales y donde los errores pueden costar una carrera. Estos líderes están entrenados para prevenir pérdidas, no para habilitar innovación.
También está el peso emocional que muchos cargan. He trabajado con CISOs que han sido:
- Presionados para aprobar despliegues apresurados sin contexto suficiente.
- Excluidos de decisiones críticas y luego culpados tras un incidente.
- Tratados como pólizas de seguro en lugar de socios estratégicos.
Con el tiempo, estas experiencias generan un reflejo donde decir “no” parece la opción más segura. Y cuando la única “recompensa” de asumir un riesgo es una mayor exposición a la culpa, incluso el líder con mejores intenciones tendrá dificultades para dejar de lado esa reacción.
Cómo la resistencia de seguridad perjudica al negocio
Si intentas escalar, modernizar o entregar valor más rápido, la fricción con seguridad ralentiza todo. Los equipos de innovación se desmoralizan y actúan en consecuencia. Pero hay un problema más profundo: cuando la seguridad se convierte en cuello de botella, la organización se adapta alrededor de eso, a menudo de maneras que introducen más riesgo.
Los líderes retrasan el involucramiento del CISO porque esperan fricción. Y cuando por fin lo integran, la única opción viable del CISO es decir que no.
El ciclo se refuerza y hace que la empresa sea más frágil (no más ágil). Cuando seguridad se convierte en obstáculo, el negocio se fragmenta. Surgen atajos, se diluye la responsabilidad y la resiliencia que necesitas para escalar empieza a erosionarse.
No tienes que quedarte atrapado en este patrón; pero cambiarlo requiere liderazgo intencional desde fuera de la función de ciberseguridad.
Lo que hacen diferente los ejecutivos inteligentes
No necesitas que tu CISO diga “sí” a todo. Necesitas que diga: “Así es como hacemos esto de manera segura, rápida y alineada con nuestras metas”. Eso es un cambio cultural. Y cada miembro del C-Suite tiene un papel en ello.
CEO: Marca el tono desde el inicio
Si solo recurres a seguridad cuando algo sale mal, tu CISO liderará desde el miedo. Participa antes de la brecha y deja claro que la ciberseguridad es una palanca estratégica. Cuando los CISOs se sienten respaldados, se convierten en socios en lugar de guardianes.
COO: Exige una seguridad que habilite la ejecución
No puedes permitir controles poco claros o requisitos inconsistentes. Estos generan cuellos de botella, lanzamientos retrasados y atajos. Espera que tu CISO estabilice las operaciones y asegúrate de que esté involucrado lo suficientemente temprano para hacerlo de forma constructiva.
CFO: Vincula el gasto en ciberseguridad con el valor del negocio
Si la seguridad se percibe solo como “protección”, parece un costo hundido. Pero cuando se conecta con continuidad del negocio, tiempo de inactividad evitado o prevención de fraudes, se convierte en inversión estratégica. Pide a tu CISO cuantificar el riesgo y conectar sus métricas con las prioridades empresariales.
CIO: Comparte la responsabilidad
Los CIO suelen sentirse presionados entre las demandas de disponibilidad y los requisitos de seguridad. Pero incluir al CISO demasiado tarde es receta para el conflicto. Co-responsabilízate de los resultados. Diseña hojas de ruta con ciberseguridad presente desde el primer día.
CLO (Director Legal): Alinea temprano la exposición legal
Incumplimientos contractuales. Multas regulatorias. Litigios posteriores a incidentes. Los errores en ciberseguridad generan enormes repercusiones legales. Pero cuando Legal y Seguridad trabajan juntos de manera proactiva, el riesgo se entiende, documenta y comparte mejor.
El “Departamento del No” no escala
La realidad es que el “Departamento del No” no puede seguir el ritmo del negocio moderno. Pero pelear o esquivar a la ciberseguridad no es la respuesta. La oportunidad —y la responsabilidad ejecutiva— está en reposicionar la ciberseguridad como un socio en innovación y velocidad. Y eso empieza en el C-Suite.
No necesitas entender cada detalle técnico. Pero sí debes modelar confianza, exigir claridad y reforzar resultados compartidos.