¿Por qué no se hace más para proteger los activos informáticos? Los altos ejecutivos entienden que la economía global sigue no estando suficientemente protegida contra ciberataques, a pesar de años de esfuerzos y gastos multimillonarios. Entienden que solo la existen cia del riesgo debilita la confianza en la economía digital. Y entienden también que las instituciones deben profundizar la comprensión de los riesgos que corren.
James Kaplan, socio de McKinsey y experto en el tema cree que una cosa es entender el problema y otra muy diferente saber cómo solucionarlo. Hay una serie de problemas estructurales y organizacionales, dice, que complican el proceso de solución. El primero, consiste en que los ejecutivos deben aceptar un cierto nivel de riesgo de ciberataques.. Esto quiere decir que deben protegerse sin limitar su capacidad para innovar.
El segundo, las consecuencias de la ciberseguridad tocan todos los aspectos del negocio, o sea que llegan a la atención al cliente, marketing, desarrollo de productos, recursos humanos, etc.. O sea, que por cuidar los datos, se descuidan otros aspectos importantes.
Tercero, la ciberseguridad es difícil de cuantificar. Y por eso es difícil comunicar la urgencia a los altos ejecutivos y conseguir que tomen las decisiones necesarias.
Finalmente, dice Kaplan, es difícil cambiar la conducta del usuario. Para la mayoría de las instituciones la mayor vulnerabilidad no está en la compañía sino en sus clientes. Cómo impedir que los usuarios cliqueen en el lugar equivocado o cómo impedir que sus máquinas estén infectadas con malware.