Los recientes ataques masivos de ransomware, como el incidente CDK que cerró concesionarios de automóviles en Estados Unidos a finales de junio de 2024, apenas sorprenden al público en general en la actualidad. Sin embargo, las empresas y sus líderes están naturalmente nerviosos.
Cada CISO sabe que la ciberseguridad es un tema cada vez más importante para los ejecutivos y los miembros del consejo.
Y cuando llega el inevitable informe del CISO al consejo de administración, todos quieren respuestas: ¿Estamos a salvo de ataques? ¿Estamos avanzando? ¿Podría ocurrir ? Estas son preocupaciones legítimas.
La pregunta es, ¿cómo podemos responderles de la mejor manera posible? Un consejo de administración merece información clara y concisa vinculada a los objetivos comerciales, no detalles técnicos sobre correcciones o métodos de ataque.
Una brecha de comunicación entre el CISO y el consejo puede generar malentendidos, aumentar el riesgo y potencialmente desencadenar ciberataques devastadores.
Y es por esto que uno de los desafíos más importantes para los CISOs hoy en día es: ¿cómo presentar el riesgo de una manera que el consejo pueda comprender y utilizar para tomar decisiones informadas?
Echa un vistazo al nuevo eBook de XM Cyber, Guía del CISO para informar sobre el riesgo al consejo. Está repleto de estrategias y consejos para ayudarte a responder finalmente las preguntas del consejo sobre riesgos con confianza y precisión.
Al establecer un plan para una comunicación clara y progreso medible, los CISOs pueden finalmente construir la confianza en la sala de juntas y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos.’
A pesar de esta clara y apremiante necesidad de comunicación, una investigación reciente de Heidrick and Struggles, una empresa líder en búsqueda ejecutiva y consultoría de cultura corporativa, reveló una preocupante desconexión entre los CISOs y los CEOs.
Solo el 5% de los CISOs informan directamente al CEO, lo que indica una posible falta de influencia a alto nivel, y 2⁄3 de los CISOs están dos niveles por debajo del CEO en la estructura de informes. Esto significa que la mayoría de los líderes de ciberseguridad se encuentran varios pasos alejados de la toma de decisiones organizativas.
El estudio del Instituto Ponemon también encontró que solo el 37% de las organizaciones consideran que utilizan eficazmente la experiencia de sus CISOs.
La investigación de Gartner destaca una tendencia similar: solo el 10% de los consejos de administración cuentan actualmente con un comité de ciberseguridad dedicado supervisado por un miembro del consejo. Estos números exponen debilidades significativas en la forma en que las organizaciones estructuran los informes y cómo los consejos reciben los informes.
A pesar de un papel más directo para los CISOs, el desafío de traducir el riesgo en términos comerciales claros persiste.’
Como CISO, hacerte estas cinco preguntas clave puede ayudarte a superar la brecha de comunicación entre el consejo y los ejecutivos, presentar una imagen clara de la postura de ciberseguridad y obtener el apoyo necesario para gestionar eficazmente el riesgo:
1. ¿Cómo justifico mi presupuesto de ciberseguridad?
Los CISOs entienden que la ciberseguridad sólida requiere una inversión continua.
Sin una justificación clara, tus solicitudes de presupuesto corren el riesgo de reducción o incluso de ser rechazadas.
Por lo tanto, demuestra que tus objetivos no solo son alcanzables, sino que valen la pena al demostrar el retorno de la inversión en ciberseguridad.
Demuestra a los incrédulos que al asegurar recursos para proteger datos e infraestructura críticos, estás protegiendo en última instancia la salud financiera de la organización.
2. ¿Cómo domino el arte de informar sobre el riesgo?
Dominar la comunicación del riesgo es fundamental si deseas cambiar la percepción ejecutiva de la ciberseguridad.
Las audiencias no técnicas luchan con amenazas de seguridad complejas.
Es por eso que tus informes deben ser claros y basados en datos.
Deben cuantificar los riesgos en términos comerciales, destacando las posibles pérdidas financieras por violaciones.
De esta manera, demuestras el valor de las inversiones en seguridad para proteger el bienestar financiero de la organización, cambiando la ciberseguridad de un centro de costos a un facilitador empresarial.
3. ¿Cómo celebro los logros de seguridad?
No te enfoques solo en los problemas; celebrar los logros en seguridad es crucial.
Reconocer los éxitos de tu equipo aumenta la moral organizativa, fomenta una cultura de conciencia de seguridad y destaca el valor de las inversiones en ciberseguridad.
El reconocimiento público de los ataques que fueron desviados puede disuadir simultáneamente a los atacantes y tranquilizar a las partes interesadas sobre el compromiso de la organización con la protección de datos.
4. ¿Cómo colaboro mejor con otros equipos?
Los CISOs eficaces entienden que la ciberseguridad no es un esfuerzo individual.
Una seguridad sólida depende del compromiso de toda la empresa hacia la vigilancia.
Es por eso que la colaboración con otros departamentos como IT, RRHH y legal es esencial.
Trabajando juntos, los CISOs pueden integrar la capacitación en conciencia de seguridad en la incorporación y programas de desarrollo de empleados.
Además, tus esfuerzos de colaboración pueden llevar a políticas de seguridad más claras que se alineen con los procesos comerciales.
Y la colaboración fortalece los protocolos de respuesta a incidentes, asegurando una respuesta rápida y coordinada a las brechas de seguridad.
5. ¿Cómo me enfoco en lo que más importa?
Los CISOs están abrumados por amenazas y tareas.
La priorización es clave.
Enfocarse en lo que verdaderamente importa asegura que los recursos se dirijan de manera efectiva.
Esto significa identificar los riesgos de seguridad más críticos, alineándolos con los objetivos comerciales de tu organización y abordándolos estratégicamente.
Al decir no a las distracciones y concentrarte en iniciativas de alto impacto, puedes optimizar la postura de seguridad y maximizar la resistencia general de tu organización.
Superar la Brecha: Comunicación Efectiva para CISOs
La creciente ola de ciberataques exige una comunicación clara entre los CISOs y los consejos. Para superar esta brecha y obtener un apoyo crucial, los CISOs deben priorizar la comunicación efectiva del riesgo.
Descarta el argot técnico y traduce amenazas complejas en términos comerciales. Destaca el impacto financiero de los ciberataques, el daño potencial a la reputación y las interrupciones a las operaciones centrales. Al presentar la ciberseguridad como un problema empresarial, los CISOs pueden asegurar la aceptación del consejo para inversiones en seguridad esenciales.
Además, recuerda que la comunicación va más allá de simplemente presentar problemas. Los CISOs también deben demostrar progreso y alejarse de las métricas básicas para desarrollar informes basados en datos que muestren la efectividad de las inversiones en seguridad.
Échale un vistazo al nuevo eBook de XM Cyber, Guía del CISO para informar sobre el riesgo al consejo. Está repleto de estrategias y consejos para ayudarte a responder finalmente las preguntas del consejo sobre riesgos con confianza y precisión.
Al establecer un plan para una comunicación clara y progreso medible, los CISOs pueden finalmente construir la confianza en la sala de juntas y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos.
Vía The Hacker News
