Después de un gran hackeo, Microsoft vincula el salario de los altos ejecutivos a las ciberamenazas
Microsoft ha sido criticado recientemente tanto por el gobierno de Estados Unidos como por empresas rivales por no haber podido detener un ataque chino a sus sistemas el verano pasado. Un cambio que el gigante tecnológico está haciendo en respuesta: vincular más estrechamente la remuneración de los ejecutivos con la ciberseguridad.
En abril, una junta de revisión del gobierno describió un ataque a Microsoft el verano pasado atribuido a China como «prevenible». La Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de EE.UU. señaló «una cascada de errores» y una cultura corporativa en Microsoft «que despriorizó las inversiones en seguridad empresarial y la gestión rigurosa de riesgos».
Los competidores han aprovechado el lapso cibernético, con Google publica una entrada de blog esta semana destacando los hallazgos del gobierno y señalando: «El informe CSRB también destaca cuántos proveedores, incluido Google, ya están haciendo lo correcto mediante enfoques de ingeniería que protegen contra las tácticas ilustradas en el informe».
Multitud de huelga muestra de manera destacada las conclusiones del gobierno en su sitio.
Los ataques a Estados-nación por parte de China y Rusia están aumentando y tienen como objetivo a corporaciones de todos los sectores de la economía, así como al gobierno y la infraestructura social de Estados Unidos. Microsoft ha sido un objetivo muy importante, incluidos los ataques de Rusia y Porcelana. Hay una presión creciente por parte de Gobierno de los Estados Unidos para que la empresa mejore sus protocolos de ciberseguridad, y su principal abogado corporativo, Brad Smith, fue llamado a testificar en Capitol Hill.
Microsoft está en modo de control de daños. Después de un hackeo de cuentas de correo electrónico de ejecutivos en enero atribuido a hackers rusos, el La empresa reveló el incidente. en cumplimiento de las nuevas reglas federales de divulgación de seguridad cibernética, aunque técnicamente no era un hack «material» que la ley exigía compartir, lo que llevó a discusiones en otras empresas sobre dónde trazar el límite en la nueva divulgación. La decisión de Microsoft de vincular la remuneración de los ejecutivos al desempeño exitoso en ciberseguridad está provocando discusiones en otras empresas.
Microsoft lanzó su Iniciativa de futuro seguro en noviembre y a principios de este mes, la empresa delineado en una publicación de blog de Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft, que como parte de sus objetivos de SFI «inculcará responsabilidad basando parte de la compensación del equipo de liderazgo senior de la compañía en nuestro progreso en el cumplimiento de nuestros planes e hitos de seguridad». «
Un portavoz de Microsoft se negó a proporcionar detalles sobre la compensación, pero dijo que, como empresa que desempeña un papel central en el ecosistema digital mundial, tiene una «responsabilidad crítica» de hacer de la ciberseguridad una máxima prioridad. Es parte de los «importantes cambios de gobernanza» de la empresa. [made] para seguir apoyando una cultura que priorice la seguridad», afirmó el portavoz.
Las empresas suelen proporcionar más detalles, aunque a menudo solo detalles limitados, sobre los objetivos de desempeño de compensación de los ejecutivos en las reuniones anuales, que en el caso de Microsoft se celebraron por última vez en diciembre de 2023.
La ciberseguridad como principal riesgo corporativo y métrica de bonificación
Se ha vuelto más común que las corporaciones vinculen un porcentaje de los pagos anuales de bonificaciones ejecutivas a diversos objetivos que van más allá de cumplir los objetivos de ventas y ganancias. En los últimos años, muchas empresas de Fortune 500, incluida Apple, han añadido bonificaciones vinculadas a métricas ESG. La gestión de riesgos y los objetivos de seguridad han sido durante mucho tiempo parte de la remuneración de los ejecutivos, y se remontan a una era anterior al auge de los criterios ESG; por ejemplo, las empresas mineras y energéticas, así como los fabricantes e industriales, vinculaban las bonificaciones a la seguridad ambiental y de los trabajadores.
Las conversaciones sobre la remuneración de los ejecutivos vinculada a la ciberseguridad han comenzado a tener lugar en otras empresas desde que Microsoft tomó su decisión, según Aalap Shah, director general de la consultora de remuneraciones ejecutivas Pearl Meyer. No es una práctica de compensación frecuente hoy en día, dijo, pero agregó: «después del anuncio de Microsoft, recibí llamadas telefónicas preguntándome: ‘¿Deberíamos hacerlo? ¿Funcionaría?’ … Estas conversaciones son muy similares a las que tuvimos hace unos años con las métricas ESG y un porcentaje importante de empresas las adoptaron.»
Shah dijo que se puede argumentar que la ciberseguridad es un tema central que puede equipararse a la seguridad minera o industrial. Pero hay una gran diferencia entre una empresa de ciberseguridad y, por ejemplo, un minorista, a la hora de exponer este caso. E incluso en industrias más allá de la tecnología y la ciberseguridad, donde mantener la seguridad de los datos es un tema central, como los servicios financieros y la atención médica, que han sido blanco de ataques de alto perfil, aún no está claro vincular la remuneración ejecutiva de las personas de mayor rango. , como un director financiero o un asesor general, hasta la ciberseguridad, versus el director de seguridad de la información o el director de tecnología, específicamente.
Vincular el pago a los hackers es un «buen punto de partida»
Algunas empresas argumentarán que la ciberseguridad ya está arraigada en su cultura y que tal medida sería redundante, pero con la escalada de amenazas de piratería informática y la mayor importancia del gasto en ciberseguridad para los resultados de empresas como Microsoft, esta nueva métrica salarial para ejecutivos puede estar atrasado.
Según los expertos, hacer que la remuneración de los ejecutivos dependa, hasta cierto punto, del cumplimiento de los objetivos de ciberseguridad es un buen punto para comenzar a inculcar una cultura de seguridad en la cima de la jerarquía corporativa que es fundamental para el éxito.
«El mensaje más importante que se envía interna y externamente es que es muy importante para su cultura y cada vez más empresas seguirán su ejemplo, independientemente de si la ganancia es significativa», afirmó Shah. «Lo que quieren hacer es asegurarse de que se arraigue culturalmente, y el camino para hacerlo es vincularlo a la compensación».
«La ciberseguridad tiene que estar en la cultura de la organización», afirmó Stuart Madnick, profesor de tecnología de la información en el MIT. Pero priorizar la seguridad puede ser difícil dentro de una corporación, dijo Madnick, porque a menudo significa invertir dinero en lugares que no se reflejan claramente en el resultado final. «La cultura corporativa prioriza otras cosas por encima de la seguridad y la gestión de riesgos», afirmó Madnick. «¿Cómo sabes qué tan seguro estás? Quizás nadie esté apuntando a ti en ese momento. Pero si aumentas las ventas en un 20%, eso es dinero en el banco».
La investigación de Madnick muestra que las brechas en la cultura corporativa son a menudo culpables de ataques de alto perfil, no sólo el ejemplo de Microsoft. La prevención, afirma, es tanto una cuestión de previsión como de visión retrospectiva. En un artículo recientecitó los estudios del MIT sobre las violaciones de seguridad de Equifax y Capital One de los últimos años como otros ejemplos destacados. «Si bien algunos riesgos son verdaderas sorpresas que es poco probable que se detecten de antemano, muchos se parecen más a la alarma antirrobo que se sabe que está defectuosa», afirmó.
Equifax y Capital One no respondieron a las solicitudes de comentarios.
Madnick describió la mentalidad corporativa como «una toma de decisiones sistemática y semiconsciente». Eso significa que las decisiones de gestión se toman sin analizar los riesgos cibernéticos que introduce la decisión. Vincular la remuneración de los ejecutivos a los objetivos de seguridad no significa necesariamente que ese enfoque se evapore de la cultura corporativa, pero dijo que tiene resonancia simbólica, y de ese registro simbólico, lo práctico puede de hecho derivarse.
‘Una molestia y un centro de ganancias’
Para Microsoft, hay más en juego que para la mayoría de las organizaciones. Sus plataformas y sistemas son tan omnipresentes (en las empresas y en el gobierno) que es esencialmente imposible vivir sin ellos. «No hay alternativa a Microsoft, desde el punto de vista de la productividad. Hay que hacer cosas locas para intentar trabajar sin él», dijo Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad del proveedor de ciberseguridad Proofpoint.
A la complejidad de la inevitabilidad de Microsoft, dijo, se suma la naturaleza estratificada de sus plataformas, en las que las iteraciones sucesivas a menudo están respaldadas por aplicaciones heredadas que se remontan a los años 90, antes de que existieran amenazas de seguridad remotamente parecidas a las que existen ahora.
El El gobierno de EE. UU. ha pedido a las empresas tecnológicas más grandes y antiguas para actualizar los sistemas en los que confían tanto las empresas como los consumidores. El año pasado, la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, dijo en una entrevista con CNBC que la ciberseguridad es seguridad del consumidor y la comparó con las regulaciones automotrices. «Las empresas de tecnología que durante décadas han estado creando productos y software que son fundamentalmente inseguros necesitan comenzar a crear productos que sean seguros por diseño y seguros por defecto con características de seguridad integradas», dijo.
Las plataformas heredadas son mucho más fáciles de conectar y desarrollar en lugar de implementar un sistema completamente nuevo, pero «es una pesadilla de seguridad», dijo Kalember. «Un MS365 para todos, desde el Departamento de Estado hasta Joe’s Crab Shack, es un excelente modelo de negocio, pero no se adapta bien a las medidas de seguridad tradicionales».
Los principios arquitectónicos integrados en algunos de estos sistemas heredados fueron diseñados «cuando el ransomware era realmente algo que simplemente no existía, excepto en disquetes», dijo. Esto ha llevado a la empresa a acumular enormes cantidades de lo que se llama «deuda técnica»» (décadas de ello) que pueden ser abusados por los Estados-nación y permitir a las agencias de inteligencia extranjeras «robar lo que quieran», añadió.
Microsoft está atrapado entre dos impulsos en competencia, y la seguridad es «una combinación de molestia y centro de ganancias», dijo Kalember. Es un centro de ganancias porque Microsoft es el proveedor de ciberseguridad más grande del mundo y alcanza 20 mil millones de dólares en ingresos anuales el año pasado. Eso hace que la medida de compensación sea «un buen gesto», dijo, pero añadió que «sin detalles específicos detrás, es muy difícil de evaluar».
No hay detalles sobre cómo se verá influenciado el pago de Microsoft
La falta de detalles sobre la fórmula de compensación imposibilita una evaluación adecuada del incentivo. Muchas empresas que adoptaron métricas ESG lo hicieron sólo en la parte de bonificación del pago de los ejecutivos, no en el plan de incentivos a largo plazo, que es mucho más significativo. «Eso es poner tu dinero en lo que dices», dijo Shah.
Una bonificación puede comprender, en promedio, el 20 % del pago de los ejecutivos, y dentro del fondo de bonificación específicamente, las métricas financieras no básicas, como ESG, solo contribuyen con el 20 % del posible pago total de la bonificación. «Cuando tienes el 20% del total [bonus] compensación y la dividimos en algunas métricas diferentes, ¿cuánto realmente le vinculamos a algo como lo cibernético?», dijo Shah.
Los planes de incentivos a largo plazo vinculados a subvenciones de capital, especialmente en tecnología, son donde se gana el dinero real, y ahí es donde este tipo de métricas financieras secundarias tienen baja prevalencia. Ese sería el lugar ideal dentro de un plan de compensación para establecer la remuneración en función de los objetivos corporativos y de ciberseguridad a largo plazo, pero es difícil para las empresas concebir objetivos de dos a tres años relacionados con la ciberseguridad, la privacidad del consumidor y las violaciones de datos que puedan ser medido como ventas y ganancias. «Será un desafío», dijo Shah. «¿Es el número de incidentes? La precaución que tengo es la misma que con ESG: hay que asegurarse no sólo de que la relevancia esté ahí, sino también de que haya objetivos cuantificables. En la prisa por adoptar, si es subjetivo, entonces es menos significativo para los accionistas».
Las juntas directivas ya tienen la discreción de responsabilizar a los ejecutivos cada año y decidir hacer ajustes a la baja en las bonificaciones, en función del desempeño, incluidas las violaciones de datos. Hasta la fecha, este tipo de bonificación, incentivo/castigo se ha limitado principalmente a los directores de seguridad de la información, según Mike Doonan, director general de SPMB, una firma de búsqueda de ejecutivos donde se especializa en tecnología. En su opinión, es una comparación imperfecta mirar la historia del pago de bonificaciones vinculadas a métricas como la seguridad de los trabajadores, ya que muchos ataques ocurren debido a vulnerabilidades de terceros, que a menudo están fuera del control directo de la empresa. Pero Doonan dijo que podría ver que este tipo de incentivo ejecutivo se adopte de manera más amplia, «porque es una buena relación pública decir que la seguridad es una prioridad máxima en toda la suite ejecutiva, y podría resultar en mejoras». Pero cree que hay una manera aún mejor de apuntalar la defensa corporativa: «ahorrar el fondo de bonificación e invertir esos dólares en programas de seguridad».