Ir al contenido 
Casi todas las organizaciones describen su riesgo tecnológico como una amenaza externa.
Hackers. Fraude. Ransomware. Interrupciones.
Esa narrativa resulta cómoda porque ubica el problema fuera de la empresa. Permite pensar que el peligro viene de terceros y que basta con comprar más protección para sentirse en control.
En demasiados casos, esa conclusión es falsa.
El riesgo real no empieza cuando ocurre el incidente. Empieza cuando una decisión interna convierte un evento posible en un impacto grave.
Un ataque puede ser inevitable.
Una mala decisión muchas veces no.
Lo que destruye valor rara vez es solo la amenaza. Es la calidad del criterio con el que se aprobaron dependencias críticas, prioridades débiles, tiempos irreales o exposiciones que nadie quiso discutir.
El ataque puede ser visible.
La causa suele ser interna.
El error que debilita a tantas empresas
Cuando se habla de riesgo tecnológico, la conversación suele reducirse a controles visibles:
herramientas, monitoreo, políticas, reportes y cumplimiento.
Nada de eso compensa una decisión aprobada sin criterio.
Una integración acelerada por presión comercial, una tercerización mal evaluada, una expansión sin resiliencia suficiente o una iniciativa lanzada por conveniencia política pueden crear fragilidad durante meses o años.
La fragilidad rara vez aparece en el PowerPoint que la aprobó.
Se descubre cuando ya es costosa.
El incidente no crea el problema.
Lo expone.
La pregunta relevante no es solo qué control falló.
La pregunta relevante es:
¿Quién aprobó la exposición y por qué?
La responsabilidad estratégica no se delega
En muchas organizaciones el riesgo tecnológico se transfiere al área técnica con una frase conocida:
“Eso lo maneja TI.”
La operación puede delegarse.
La responsabilidad estratégica no.
La tecnología impacta continuidad, reputación, ingresos, experiencia del cliente y cumplimiento regulatorio. Tratarla como asunto exclusivamente técnico permite evitar rendición de cuentas, pero no evita consecuencias.
Solo la alta dirección puede definir exposición aceptable, detener decisiones inconsistentes y exigir trazabilidad sobre asuntos críticos.
Cuando la junta o la dirección se desconectan de decisiones tecnológicas relevantes, el riesgo no desaparece.
Solo queda sin dueño visible.
Un caso público que lo demuestra
En 2017, Equifax sufrió una de las brechas más conocidas del mercado estadounidense.
La versión superficial diría que fue víctima de un ataque externo.
La realidad fue más incómoda.
Una vulnerabilidad crítica conocida no fue corregida a tiempo y los mecanismos internos de seguimiento, escalamiento y responsabilidad fallaron.
El ataque fue visible.
La debilidad venía de antes.
La tecnología falló al final.
El gobierno había fallado antes.
Ese patrón no es excepcional.
La amenaza entra por fuera.
El daño suele prepararse por dentro.
La fragilidad que casi nunca aparece en los reportes
Las malas decisiones rara vez se presentan como malas decisiones.
Llegan disfrazadas de velocidad, ahorro, simplificación, quick wins o urgencia operativa.
Durante un tiempo incluso parecen funcionar.
Los números pueden verse razonables mientras la estructura se deteriora.
Ese es el patrón más costoso: confundir ausencia de crisis con fortaleza real.
Muchas empresas descubren su debilidad cuando corregir cuesta más que haber decidido bien desde el principio.
Implicación ejecutiva
Elevar la conversación sobre riesgo tecnológico exige cambiar el enfoque.
No basta preguntar si estamos protegidos.
Hay que preguntar si estamos decidiendo correctamente.
No basta revisar incidentes.
Hay que revisar decisiones que hicieron probable el impacto.
No basta exigir reportes.
Hay que exigir criterio verificable.
Muchas brechas empiezan en reuniones donde nadie hizo la pregunta correcta.
Reformulación final
Los ataques seguirán existiendo. Ninguna organización elimina por completo la incertidumbre.
La diferencia entre una empresa resiliente y una expuesta rara vez está solo en la amenaza externa. Está en la calidad de las decisiones internas que la precedieron.
Mientras el riesgo tecnológico siga explicándose como una amenaza externa, muchas organizaciones seguirán financiando su propia exposición.
Y ahí suele comenzar el verdadero problema.
Leer siguiente:
Qué es realmente el Gobierno Tecnológico (y por qué casi nadie lo tiene)