Eventos como el reciente y masivo Ataque de ransomware CDK –que cerró los concesionarios de automóviles en todo Estados Unidos a fines de junio de 2024– ya casi no llama la atención del público.
Sin embargo, las empresas y las personas que las dirigen están justificadamente nerviosas. Todos los CISO saben que la ciberseguridad es un tema cada vez más candente tanto para los ejecutivos como para los miembros de la junta directiva. Y cuando llega la inevitable reunión informativa entre el CISO y la junta directiva, todos quieren respuestas: ¿estamos a salvo de los ataques? ¿Estamos avanzando? ¿Podríamos ¿Qué nos pasa a nosotros?
Todas ellas son preocupaciones justas.
La pregunta es, ¿cuál es la mejor manera de responderles? El directorio de una empresa merece información clara y concisa vinculada a los objetivos de la empresa, no detalles técnicos sobre soluciones o métodos de ataque. Una brecha de comunicación entre el CISO y el directorio puede dar lugar a malentendidos, un mayor riesgo y ciberataques potencialmente devastadores. Y es por eso que uno de los desafíos primordiales para los CISO en la actualidad sigue siendo: ¿cómo presentar el riesgo de una manera que el directorio pueda comprender y aprovechar para tomar decisiones informadas?
Consulta el nuevo libro electrónico de XM CyberGuía del CISO para informar sobre riesgos a la junta directiva. Está repleta de estrategias y consejos que le ayudarán a responder con seguridad y precisión las preguntas de la junta directiva sobre riesgos. Al establecer un plan para una comunicación clara y un progreso mensurable, los CISO pueden finalmente generar confianza en la sala de juntas y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos.
Los números hablan
A pesar de esta clara y apremiante necesidad de comunicación, una investigación reciente de Heidrick and Struggles, una empresa líder en búsqueda de ejecutivos y servicios de consultoría de cultura corporativa, reveló una preocupante desconexión entre los CISO y los CEO. El 5% de los CISO reportan directamente al CEOlo que indica una posible falta de influencia de alto nivel, y 2⁄3 de los CISO están dos niveles por debajo del CEO en la estructura de informes.
Esto significa que la mayoría de los líderes de ciberseguridad siguen estando a varios pasos de distancia de la toma de decisiones organizacional. El estudio del Ponemon Institute también descubrió que solo el 37 % de las organizaciones creen que utilizan de manera efectiva la experiencia de su CISO. Investigación de Gartner destaca una tendencia similar: solo el 10% de las juntas directivas cuentan actualmente con un comité dedicado a la ciberseguridad supervisado por un miembro de la junta.
Estas cifras revelan importantes debilidades en la forma en que las organizaciones estructuran los informes y en cómo los directorios reciben las sesiones informativas. A pesar de que los CISO desempeñan un papel más directo, el desafío de traducir el riesgo en términos comerciales claros persiste.
Las preguntas
Como CISO, plantearse estas cinco preguntas clave puede ayudarle a superar la brecha de comunicación entre la junta directiva y los ejecutivos, presentar un panorama claro de la postura de ciberseguridad y obtener el apoyo necesario para gestionar eficazmente el riesgo:
1. ¿Cómo justifico mi presupuesto en ciberseguridad?
Los CISO comprenden que una ciberseguridad sólida requiere una inversión constante. Sin una justificación clara, sus solicitudes de presupuesto corren el riesgo de ser reducidas o rechazadas rotundamente. Por lo tanto, demuestre que sus objetivos no solo son alcanzables sino que también lo son, demostrando el retorno de la inversión en ciberseguridad. Muestre a los detractores que al asegurar los recursos para salvaguardar los datos y la infraestructura críticos, en última instancia está protegiendo la salud financiera de la organización.
2. ¿Cómo puedo dominar el arte de informar sobre riesgos?
Dominar los informes de riesgos es fundamental si desea cambiar la percepción ejecutiva sobre la ciberseguridad. Las audiencias no técnicas tienen dificultades con las amenazas de seguridad complejas. Por eso, sus informes deben ser claros y basados en datos. Deben cuantificar los riesgos en términos comerciales, destacando las posibles pérdidas financieras derivadas de las infracciones. De esta manera, demuestra el valor de las inversiones en seguridad para proteger el bienestar financiero de la organización, lo que hace que la ciberseguridad deje de ser un centro de costos para convertirse en un facilitador comercial.
3. ¿Cómo celebro los logros en materia de seguridad?
No se centre únicamente en los problemas; celebrar los logros en materia de seguridad es fundamental. Reconocer los éxitos de su equipo eleva la moral de la organización, fomenta una cultura de concienciación sobre la seguridad y destaca el valor de las inversiones en ciberseguridad. El reconocimiento público de los ataques que se desviaron puede disuadir a los atacantes y, al mismo tiempo, tranquilizar a las partes interesadas sobre el compromiso de la organización con la protección de datos.
4. ¿Cómo puedo colaborar mejor con otros equipos?
Los CISO eficaces comprenden que la ciberseguridad no es una tarea individual. Una seguridad sólida depende de un compromiso de vigilancia de toda la empresa. Por eso, es esencial la colaboración con otros departamentos, como TI, RR. HH. y Legal. Al trabajar juntos, los CISO pueden integrar la formación en concienciación sobre seguridad en los programas de incorporación y desarrollo de los empleados. Además, sus esfuerzos colaborativos pueden dar lugar a políticas de seguridad más claras que se alineen con los procesos empresariales. Y la colaboración fortalece los protocolos de respuesta a incidentes, lo que garantiza una respuesta rápida y coordinada a las violaciones de seguridad.
5. ¿Cómo puedo centrarme en lo que más importa?
Los CISO se ven bombardeados por amenazas y tareas. La priorización es clave. Centrarse en lo que realmente importa garantiza que los recursos se dirijan de manera eficaz. Esto significa identificar los riesgos de seguridad más críticos, alinearlos con los objetivos comerciales de su organización y abordarlos de manera estratégica. Al decir no a las distracciones y concentrarse en iniciativas de alto impacto, puede optimizar la postura de seguridad y maximizar la resiliencia general de su organización.
Acortando distancias: comunicación eficaz para los CISO
La creciente ola de ciberataques exige una comunicación clara entre los CISO y las juntas directivas. Para superar esta brecha y obtener un apoyo crucial, los CISO deben priorizar una comunicación eficaz de los riesgos. Deje de lado la jerga técnica y traduzca las amenazas complejas a términos comerciales. Resalte el impacto financiero de los ciberataques, el posible daño a la reputación y las interrupciones en las operaciones principales. Al enmarcar la ciberseguridad como un problema comercial, los CISO pueden obtener la aceptación de la junta directiva para realizar inversiones esenciales en seguridad. (Consulte este excelente artículo para obtener más consejos sobre cómo obtener la aceptación ejecutiva para las iniciativas de seguridad) aquí.)
Además, recuerde que la comunicación va más allá de simplemente presentar problemas. Los CISO también deben demostrar el progreso y alejarse de las métricas básicas para desarrollar informes basados en datos que muestren la eficacia de las inversiones en seguridad. Se deben realizar un seguimiento de las métricas clave, como las reducciones en los ataques exitosos o el tiempo que se tarda en identificar y contener las infracciones. Estos puntos de datos demostrables ayudarán a transmitir su mensaje.
Consulta el nuevo libro electrónico de XM CyberGuía del CISO para informar sobre riesgos a la junta directiva. Está repleta de estrategias y consejos que le ayudarán a responder con seguridad y precisión las preguntas de la junta directiva sobre riesgos. Al establecer un plan para una comunicación clara y un progreso mensurable, los CISO pueden finalmente generar confianza en la sala de juntas y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos.