Daniel S. Acevedo Sánchez | Linkedin | Email
Consultor en transformación digital y estrategia – Legal, Finance & Tax

En el mundo corporativo, a menudo hablamos de “riesgo” como un concepto abstracto, una línea en una matriz de Excel que el equipo de compliance revisa una vez al año. Pensamos en hackers encapuchados en cuartos oscuros, ataques de phishing sofisticados o desastres naturales. Pero la realidad, como siempre, es mucho más terrenal y, francamente, más peligrosa.

La tesis que quiero plantear hoy es simple y directa: las mayores amenazas para tu organización no siempre vienen de afuera. A menudo, nacen de la negligencia interna, la falta de procesos robustos y una cultura de liderazgo que prefiere esconder la basura debajo de la alfombra en lugar de limpiarla. Para ilustrarlo, no necesitamos teorías complejas. Basta con observar tres casos recientes y muy distintos que, juntos, pintan un panorama completo de la gestión de riesgos en la era digital: una brecha de datos masiva, una condena ejecutiva por encubrimiento y un simple resbalón en unas escaleras mecánicas.

(i) El golpe externo: cuando la bóveda digital queda abierta

Empecemos por el escenario clásico. Un ejemplo reciente y alarmante es la brecha de datos de Allianz Life, que afectó a 1,1 millones de clientes, según reportó TechCrunch. En este incidente, hackers robaron información personal sensible, incluyendo números de seguridad social, desde una base de datos alojada en la nube. Para un CFO, esto es una pesadilla financiera: multas regulatorias, costos de remediación y posibles demandas colectivas. Para un CLO, es una catástrofe de cumplimiento y un desafío legal monumental. Para el CEO, es un golpe directo a la confianza del cliente y a la reputación de la marca, que tarda años en construirse y segundos en destruirse.

Este caso nos recuerda que, aunque usemos plataformas de gigantes como Salesforce, la responsabilidad final de proteger los datos es nuestra. Es como tener la mejor bóveda del mundo, pero dejar la combinación anotada en un post it pegado en la puerta. La tecnología es una herramienta, no una solución mágica. Sin una gobernanza de datos sólida y una cultura de ciberseguridad, solo estamos esperando a que ocurra el desastre.

(ii) La implosión interna: cuando el liderazgo se convierte en el delito

Pero, ¿qué pasa cuando el problema no es solo la intrusión, sino la respuesta interna? Aquí es donde la responsabilidad deja de ser corporativa y se vuelve peligrosamente personal. El caso de Joe Sullivan, exjefe de seguridad de Uber, es un llamado de atención para toda la C-Suite. Su condena por obstrucción a la justicia y por no notificar un delito grave demuestra que la responsabilidad ya no es difusa; es personal y tiene consecuencias penales. En lugar de gestionar la crisis de forma transparente, se intentó encubrir una brecha de datos pagando a los hackers a través de un programa de “recompensa por errores” para que pareciera una transacción legítima.

Este es un punto de inflexión. El mensaje para todo líder es inequívoco: la forma en que respondes a una crisis es tan importante como la crisis misma. La transparencia no es una opción, es una obligación legal y ética. Intentar ocultar un problema no solo agrava el daño reputacional, sino que puede llevar a los ejecutivos directamente a un tribunal. La pregunta que todo líder debe hacerse es: ¿nuestra cultura organizacional promueve la honestidad brutal o el silencio conveniente?

(iii) El riesgo silencioso: cuando un proceso roto cuesta más que un ‘hacker’

Y a veces, el riesgo más costoso no viene de un hacker sofisticado ni de una decisión de alto nivel, sino de un proceso interno roto y aparentemente trivial. Recientemente, la empresa Metro de Madrid, condenada por borrar las grabaciones de un pasajero que cayó por las escaleras mecánicas, fue sentenciada no por la caída de un pasajero, sino por su negligencia al borrar las grabaciones de seguridad que eran clave para esclarecer el incidente. A pesar de que la víctima presentó una reclamación el mismo día del accidente, la empresa siguió su política estándar de borrar los videos después de seis días.

El tribunal fue tajante: al destruir la prueba clave, Metro de Madrid impidió que se hiciera justicia y, por lo tanto, fue condenada. Este caso es una joya para cualquier director jurídico. Demuestra que la gestión de riesgos no es solo sobre ciberseguridad; es sobre gobernanza de la información. ¿Tienes una política de retención de datos? Perfecto. ¿Esa política se integra con un protocolo de legal-hold que se activa automáticamente cuando se presenta una reclamación o se anticipa un litigio? Si la respuesta es no, estás sentado sobre una bomba de tiempo.

Estos tres casos, aunque diferentes, nos enseñan una lección unificada: la gestión de riesgos en el siglo XXI es una disciplina activa y holística. No se trata de comprar el último software de seguridad, sino de construir un ecosistema resiliente que combine tecnología, procesos y, sobre todo, un liderazgo responsable. Como líderes, debemos dejar de ver el riesgo como un evento externo e impredecible y empezar a tratarlo como lo que realmente es: un resultado predecible de nuestras propias acciones (o inacciones).

Tecnología con gobernanza: implementa herramientas, pero acompáñalas con políticas claras y gente responsable de ejecutarlas.

Responsabilidad radical: define protocolos de respuesta a incidentes donde cada rol sepa exactamente qué hacer. La transparencia no es negociable.

Procesos a prueba de fallos: audita tus flujos de trabajo internos. Un simple proceso de retención de datos, como vimos, puede ser la diferencia entre ganar o perder un juicio.

El verdadero riesgo no está en la tecnología que usamos, sino en la complacencia con la que la gestionamos. La pregunta final no es si tu organización será atacada, sino si está preparada para enfrentar no solo el golpe externo, sino su propia respuesta interna. Ahí es donde se ganan o se pierden las batallas más importantes.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.