Por qué la ciberseguridad debería ser una prioridad para la junta directiva de cada empresa: la perspectiva de Serhii Mikhalap

Gracias al mundo interconectado actual, la ciberseguridad ya no es una cuestión técnica secundaria. Es un imperativo para las juntas directivas. A medida que las amenazas en línea se vuelven más sofisticadas y las brechas de seguridad más costosas, las empresas se dan cuenta de que la seguridad digital debe integrarse en el gobierno corporativo. Pero ¿qué significa que la ciberseguridad sea una prioridad para la junta directiva y por qué muchas empresas siguen rezagadas?

El experto en ciberseguridad Serhii Mikhalap cree que la respuesta está en la mentalidad. Con más de nueve años de experiencia en primera línea, incluyendo la dirección de operaciones nacionales de ciberdefensa y la cofundación de una startup de ciberseguridad, Mikhalap ha presenciado de primera mano las consecuencias de tratar la ciberseguridad como un simple requisito en lugar de un pilar estratégico.

Mikhalap comenzó su carrera en 2016 como analista en el Centro de Operaciones de Seguridad (SOC) de Ucrania. Encargado de responder a amenazas persistentes avanzadas (APT) contra infraestructuras gubernamentales y privadas, desarrolló una comprensión profunda del comportamiento de los actores de amenazas.

“No solo identificábamos malware”, recuerda Mikhalap. “Estábamos rastreando sus motivos, identificando los objetivos a largo plazo de los adversarios y cómo se infiltraban en las cadenas de suministro”.

En 2020, se incorporó al sector comercial, trabajando inicialmente como responsable de respuesta a incidentes y posteriormente liderando equipos de SOC en un proveedor global de ciberseguridad. Su trabajo consistió en construir dos SOC desde cero, integrando automatización, triaje de estrategias y monitorización 24/7. Entre sus clientes se encontraban empresas de tecnología financiera y de pagos sujetas a un estricto escrutinio regulatorio.

En 2024, Mikhalap cofundó una startup de seguridad como servicio dirigida a startups y pymes de criptomonedas, banca y tecnología transaccional. Su equipo ofrece pruebas de penetración, análisis forense digital y respuesta a incidentes (DFIR), evaluaciones de riesgos y auditorías de seguridad.

“La ciberseguridad no se trata solo de prevención. Se trata de respuesta, recuperación y confianza. Y esa confianza empieza con el liderazgo”, afirma.

El impacto de Mikhalap no ha pasado desapercibido. En 2022, recibió el premio nacional ucraniano "Znak Yakosti" (Señal de Calidad) por su excepcional profesionalismo en ciberseguridad. El comité del premio destacó su labor en respuesta a incidentes, planificación estratégica de defensa, formación de usuarios y análisis forense digital.

En 2023, fue galardonado con el Premio Nacional a la Alta Reputación, en reconocimiento a su compromiso con las prácticas comerciales éticas, la responsabilidad y la calidad. Estos reconocimientos subrayan su credibilidad como líder que combina rigor técnico e integridad.

Según Mikhalap, incluir la ciberseguridad en la agenda de la junta directiva no es opcional; es esencial. «Las juntas directivas supervisan el riesgo estratégico. Y en 2025, el riesgo cibernético es un riesgo estratégico», afirma.

Sin embargo, muchas juntas directivas carecen de la experiencia necesaria para comprender las vulnerabilidades técnicas, y mucho menos para alinear la seguridad con los objetivos empresariales. Esto crea una brecha peligrosa.

“La falta de alfabetización cibernética en los puestos directivos da lugar a presupuestos mal asignados, planes de respuesta mal preparados y una dependencia excesiva de los proveedores”, advierte. “La ciberseguridad debe tratarse como las finanzas o el derecho, un ámbito con sus propias métricas, lenguaje y responsabilidad”.

Aboga por reuniones informativas periódicas a nivel de junta directiva por parte de CISO o expertos externos, con un enfoque en:

• Obligaciones de cumplimiento
• Preparación para la respuesta a incidentes
• Prioridades de inversión para la resiliencia
• Panorama actual de amenazas y tendencias
• Activos críticos para el negocio y su exposición

Mikhalap cree que al enmarcar la ciberseguridad en términos de continuidad del negocio y riesgo reputacional, los directorios pueden comprender mejor su valor.

Un tema recurrente en la obra de Mikhalap es el coste oculto de la inacción. «Una filtración no solo cuesta dinero. Erosiona la confianza. Expone negligencia. Puede hacer fracasar una oferta pública inicial o una fusión o adquisición».

En las industrias reguladas, las consecuencias son aún más graves. Multas, demandas y prohibiciones regulatorias están sobre la mesa. «Pero el problema más importante es la desventaja competitiva. Si tus rivales invierten en resiliencia y tú no, te estás poniendo al día una vez que el daño ya está hecho».

Mikhalap enfatiza que la participación de la junta directiva debe ir de la mano con el cambio cultural. La seguridad no puede tener éxito de forma aislada.

Necesitamos romper con el mito de que la ciberseguridad es un problema de TI. Es responsabilidad de todos. Desde RR. HH. hasta finanzas y los equipos de producto, cada función debe comprender su rol en la gestión del ciberriesgo.

Para respaldar esto, su empresa ofrece módulos de capacitación personalizados que alinean las prácticas de seguridad con los roles laborales. También ayudan a las empresas a simular ataques para evaluar la toma de decisiones ejecutiva bajo presión.

Cuando los líderes analizan un escenario simulado de vulneración, comprenden lo que está en juego. Se dan cuenta de que no se trata solo de cortafuegos. Se trata de daño a la reputación, exposición legal y la supervivencia del negocio.

Mikhalap destaca algunas prácticas que están adoptando las juntas directivas con visión de futuro:

• El riesgo cibernético como parte de la gestión de riesgos empresariales (ERM): integración de la seguridad en paneles de riesgo más amplios.
• Educación de la junta: Organización de talleres o sesiones de incorporación para nuevos miembros.
• Evaluaciones independientes: contratación de expertos externos para realizar revisiones de madurez.
• Planificación de escenarios: Ejecución de ejercicios de mesa para equipos ejecutivos y directores.
• Alineación presupuestaria: garantizar que las inversiones en seguridad coincidan con la huella digital de la empresa y su exposición a amenazas.

Señala que las juntas directivas no necesitan convertirse en expertos en ciberseguridad. Pero deben plantear las preguntas correctas y esperar respuestas claras y prácticas.

De cara a 2025 y años posteriores, Mikhalap ve una creciente urgencia en que las empresas incorporen la estrategia cibernética en su planificación a largo plazo. A medida que el ransomware, los ataques basados en IA y las brechas en la cadena de suministro aumentan en escala y complejidad, argumenta que las prioridades de las juntas directivas deben evolucionar en consecuencia.

La ciberseguridad ya no se trata de defender el perímetro de la red. Se trata de gestionar el riesgo digital en toda la empresa. Se trata de resiliencia. Y comienza con un liderazgo que comprende lo que realmente está en juego.

Para Serhii Mikhalap, el mensaje es simple: la ciberseguridad debe estar en la sala de juntas. No solo durante una crisis, sino como parte de la supervisión rutinaria.

“Si no se debate la ciberseguridad en la junta directiva, se deja a la organización vulnerable, tanto técnica como reputacionalmente”, afirma. “La ciberseguridad es ahora un factor clave para el negocio. Las juntas directivas que lo hagan bien liderarán con confianza. Las que no lo hagan, se quedarán atrás”.

(Imagen de Cliff Hang de Pixabay)