Eventos como la reciente masacre Ataque de ransomware CDK – que provocó el cierre de concesionarios de automóviles en todo Estados Unidos a finales de junio de 2024 – ya no atrae mucho interés público.
Aún así, las empresas y las personas que las dirigen están legítimamente nerviosas. Todo CISO sabe que la ciberseguridad es un tema cada vez más candente para los ejecutivos y miembros de la junta directiva. Y cuando llega la inevitable sesión informativa entre el CISO y la Junta Directiva, todos quieren respuestas: ¿Estamos a salvo de ataques? ¿Hemos progresado? ¿Qué pasaría con nosotros?
Todas estas son preocupaciones legítimas.
La pregunta es cuál es la mejor manera de responderla. La junta directiva de una empresa merece información clara y concisa relacionada con los objetivos de la empresa, no detalles técnicos sobre soluciones o métodos de ataque. La falta de comunicación entre el CISO y la junta directiva puede provocar malentendidos, mayores riesgos y ciberataques potencialmente devastadores. Es por eso que uno de los principales desafíos para los CISO sigue siendo hoy: cómo presentar los riesgos de manera que la junta directiva pueda comprenderlos y explotarlos para tomar decisiones informadas.
Descubre el nuevo eBook de XM CyberGuía CISO para informar riesgos a la junta directiva. Está repleto de estrategias y consejos que le ayudarán a responder finalmente a las preguntas sobre riesgos de la junta con confianza y precisión. Al establecer un plan para una comunicación clara y un progreso mensurable, los CISO finalmente pueden generar confianza dentro de la junta directiva y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos.
Los numeros hablan
A pesar de esta clara y apremiante necesidad de comunicación, un estudio reciente realizado por Heidrick and Struggles, líder en búsqueda de ejecutivos y consultoría de cultura corporativa, reveló una división preocupante entre CISO y CEO. El 5% de los CISO reportan directamente al CEOlo que indica una posible falta de influencia de alto nivel, y 2/3 de los CISO están dos niveles por debajo del CEO en la estructura de informes.
Esto significa que la mayoría de los líderes de ciberseguridad permanecen alejados de la toma de decisiones organizacionales. El estudio del Ponemon Institute también encontró que sólo el 37% de las organizaciones creen que están utilizando la experiencia de su CISO de manera efectiva. estudio de Gartner destaca una tendencia similar: sólo el 10% de las juntas directivas cuentan actualmente con un comité de ciberseguridad dedicado supervisado por un miembro de la junta directiva.
Estas cifras revelan debilidades significativas en la forma en que las organizaciones estructuran sus informes y cómo las juntas directivas reciben información. A pesar de que los CISO desempeñan un papel más directo, traducir los riesgos en términos operativos claros sigue siendo un desafío.
Preguntas
Como CISO, hacerse estas cinco preguntas clave puede ayudarle a cerrar la brecha de comunicación entre la junta directiva y la dirección, presentar una imagen clara de la postura de ciberseguridad y obtener el apoyo necesario para gestionar los riesgos de forma eficaz:
1. ¿Cómo justifico mi presupuesto de ciberseguridad?
Los CISO saben que una ciberseguridad sólida requiere una inversión continua. Sin una justificación clara, sus solicitudes de presupuesto corren el riesgo de ser reducidas o rechazadas por completo. Demuestre que sus objetivos no sólo son alcanzables, sino que también valen la pena demostrando el retorno de su inversión en ciberseguridad. Muestre a los escépticos que al garantizar recursos para proteger la infraestructura y los datos críticos, en última instancia, se protege la salud financiera de la organización.
2. ¿Cómo dominar el arte de informar sobre riesgos?
Dominar la presentación de informes de riesgos es esencial si se quiere cambiar la percepción de los ejecutivos sobre la ciberseguridad. Las audiencias no técnicas se enfrentan a amenazas de seguridad complejas. Es por eso que sus informes deben ser claros y estar basados en datos. Deben cuantificar los riesgos en términos comerciales, destacando las posibles pérdidas financieras debido a violaciones. De esta manera, demuestra el valor de las inversiones en seguridad para proteger el bienestar financiero de la organización, trasladando la ciberseguridad de un centro de costos a un habilitador de negocios.
3. ¿Cómo celebrar los logros en seguridad?
No se centre sólo en los problemas: es esencial celebrar las victorias en materia de seguridad. Reconocer los éxitos de su equipo fortalece la moral organizacional, fomenta una cultura de concienciación sobre la seguridad y resalta el valor de las inversiones en ciberseguridad. El reconocimiento público de los ataques que han sido frustrados puede disuadir a los atacantes y tranquilizar a las partes interesadas sobre el compromiso de la organización con la protección de datos.
4. ¿Cómo puedo colaborar mejor con otros equipos?
Los CISO eficaces entienden que la ciberseguridad no es un esfuerzo individual. Una seguridad sólida depende de un compromiso de vigilancia en toda la empresa. Por este motivo, la colaboración con otros departamentos como TI, RR.HH. y Legal es fundamental. Al trabajar juntos, los CISO pueden integrar la capacitación en concientización sobre seguridad en los programas de desarrollo e incorporación de empleados. Además, sus esfuerzos de colaboración pueden conducir a políticas de seguridad más claras y alineadas con los procesos comerciales. Y la colaboración fortalece los protocolos de respuesta a incidentes, garantizando una respuesta rápida y coordinada a las violaciones de seguridad.
5. ¿Cómo puedo concentrarme en lo más importante?
Los CISO son bombardeados con amenazas y tareas. La priorización es esencial. Céntrate en lo que realmente importa garantiza que los recursos se utilicen de manera eficiente. Esto significa identificar los riesgos de seguridad más críticos, alinearlos con los objetivos comerciales de su organización y abordarlos estratégicamente. Al rechazar las distracciones y centrarse en iniciativas de alto impacto, puede optimizar la postura de seguridad y maximizar la resiliencia general de su organización.
Cerrando la brecha: comunicación efectiva para los CISO
La creciente ola de ciberataques exige una comunicación clara entre los CISO y las juntas directivas. Para cerrar esta brecha y obtener un apoyo crucial, los CISO deben priorizar la comunicación de riesgos eficaz. Olvídese de la jerga técnica y traduzca las amenazas complejas en términos comerciales. Resalte el impacto financiero de los ciberataques, el posible daño a la reputación y la interrupción de las operaciones centrales. Al enmarcar la ciberseguridad como un problema empresarial, los CISO pueden lograr el apoyo de la junta directiva para inversiones críticas en seguridad. (Consulte este excelente artículo para obtener más consejos sobre cómo lograr que la administración acepte las iniciativas de seguridad. aquí.)
Además, recuerde que la comunicación es algo más que presentar problemas. Los CISO también deben demostrar progreso y alejarse de las métricas básicas para desarrollar informes basados en datos que muestren la efectividad de las inversiones en seguridad. Se deben realizar un seguimiento de métricas clave, como la reducción de ataques exitosos o el tiempo necesario para identificar y contener las infracciones. Estos puntos de datos demostrables le ayudarán a transmitir su mensaje.
Descubre el nuevo eBook de XM CyberGuía CISO para informar riesgos a la junta directiva. Está repleto de estrategias y consejos que le ayudarán a responder finalmente a las preguntas sobre riesgos de la junta con confianza y precisión. Al establecer un plan para una comunicación clara y un progreso mensurable, los CISO finalmente pueden generar confianza dentro de la junta directiva y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos.