Quan tot funciona, és fàcil confondre inversió en tecnologia amb control del risc. La sensació és que ja fem prou. El problema apareix quan, tot i això, cal decidir sense marge i sense manual.

Durant molts anys, el ciberrisc s’ha percebut com una qüestió tècnica. Un àmbit delegable, gestionable des d’IT, sovint allunyat del centre de la presa de decisions.

Aquesta lectura, avui, ja no és suficient.

El canvi rellevant no és només l'increment d'incidents digitals, sinó el que passa quan es produeixen. Quan un incident és greu, el seu impacte no es limita a la tecnologia. Afecta directament la continuïtat del negoci, la reputació i, sobretot, la capacitat real de la direcció per decidir sota pressió.

Aquí és on el ciberrisc deixa de ser un problema tècnic i esdevé una qüestió de governança.

El fals confort de la delegació

Moltes organitzacions operen sota un supòsit implícit: si la tecnologia està ben gestionada, el risc està controlat.
Aquest supòsit confon dues dimensions diferents.

Gestionar sistemes no és el mateix que assumir risc empresarial. El ciberrisc no es materialitza perquè algú no sàpiga prou, sinó perquè el moment crític exigeix decisions que no s’han pensat prèviament.

Quan tot funciona, aquesta diferència no es veu. Quan tot falla, es fa evident.

En aquest sentit, delegar completament el risc digital és una forma de confort. Funciona mentre no passa res. Però no prepara per al moment en què cal decidir ràpid, amb informació incompleta i amb conseqüències reals.

Quan l’incident destapa el buit de criteri

Els primers moments d’un incident digital greu no són, principalment, tècnics. Són directius.

Apareixen preguntes que no tenen una resposta preparada:

• fins on s’atura l’activitat,
• què es comunica i a qui,
• quins riscos s’accepten per reprendre l’operativa,
• quines conseqüències s’assumeixen a curt i a mig termini.

Sense criteri previ, la direcció entra en mode reacció. I reaccionar no és el mateix que decidir.

La tecnologia pot recuperar-se. El que costa més de reconstruir és el marc de decisió quan aquest no existeix.

El cost invisible que no surt als balanços

Més enllà de les pèrdues econòmiques directes, hi ha un cost menys visible però determinant:

• l’erosió de la confiança,
• la tensió interna als equips,
• el bloqueig temporal del lideratge.

Aquest cost no apareix immediatament als números, però condiciona el futur de l’organització. Afecta la manera com es prenen decisions després de l’incident i com es percep la solidesa de la direcció, tant internament com externament.

Quan una empresa viu un ciberincident greu, el relat intern canvia. I no sempre canvia a favor.

Decidir abans, no durant

El veritable problema no és l’atac. És arribar-hi sense haver pensat abans què es farà quan passi.

Anticipar el ciberrisc no és només invertir en tecnologia o contractar serveis especialitzats. És definir criteris. És decidir abans què és assumible i què no. És establir límits clars perquè, quan arribi el moment, la direcció no hagi d’improvisar.

En aquest punt, la ciberassegurança  juga un paper que sovint s’entén malament. No és només una cobertura econòmica. És una eina que aporta estructura, ordre i suport en un moment de màxima incertesa. No elimina el risc, però ajuda a governar-lo.

El ciberrisc com a prova de lideratge

En un entorn cada cop més digital, el ciberrisc s’ha convertit en una prova silenciosa de lideratge. No perquè posi a prova els coneixements tècnics de la direcció, sinó perquè exposa la seva capacitat de decidir quan no hi ha manual.

Les organitzacions més resilients no són les que no pateixen incidents, sinó les que han pensat abans com els afrontaran. Les que entenen que el risc digital no es pot delegar completament, perquè forma part del nucli mateix del negoci.

Potser la pregunta clau ja no és si una empresa està prou protegida tecnològicament, sinó si està preparada, com a direcció, per decidir quan la tecnologia falla.