Los CISO deben ayudar a los miembros de su junta a gestionar el riesgo cibernético: así es como


Únase a Transform 2021 del 12 al 16 de julio. Regístrese para el evento de IA del año.


En una de las escenas más memorables de la película «Jerry Maguire», se ve al personaje de Tom Cruise, un agente de fútbol, ​​suplicando a su único cliente y pidiéndole que simplemente «ayúdeme, ayúdeme». Maguire siguió repitiendo la línea una y otra vez con la esperanza de abrirse paso hasta el jugador, tratando de convencerlo de que cambiara su forma de pensar con la esperanza de que eso lo ayudara a obtener algo importante de su equipo.

Esta escena me vino a la mente recientemente mientras reflexionaba sobre la relación entre los CISO y sus juntas directivas. Los ataques cibernéticos a una empresa pueden tener un alto costo: dinero, reputación y pérdidas comerciales. Los CISO luchan día y noche para evitar que su negocio sufra un ciberataque paralizante. Sin embargo, con demasiada frecuencia, no reciben la ayuda o asistencia que necesitan para desempeñar adecuadamente sus funciones. Como resultado, los CISO a menudo no pueden obtener suficiente dinero para contratar personas y comprar sistemas que eviten los ciberataques, no logran concienciar a los ejecutivos sobre los problemas de ciberseguridad y no logran convencer a las juntas directivas de que se centren más en las necesidades de ciberseguridad.

Para que los CISO prosperen hoy en día, no solo deben construir una estrategia de ciberdefensa sólida con un presupuesto, sino que deben convencer a sus juntas corporativas, el grupo que es en última instancia responsable de su presupuesto, de que la ciberseguridad debe ser una prioridad presupuestaria. Sin embargo, según un informe de la consultora EY, la junta no está involucrada en el debate sobre ciberseguridad. En el informe, casi la mitad de los CISO declararon que sus juntas directivas “aún no tienen un conocimiento completo del riesgo de ciberseguridad” y que solo el 54% de las organizaciones enumeran regularmente la ciberseguridad como un tema de la agenda de la junta.

Sube la tabla a bordo

Entonces, ¿cómo pueden los CISO convencer a sus juntas directivas de que el gasto en ciberseguridad debe ser una prioridad, y cómo deben expresar esa necesidad de una manera a la que las juntas puedan referirse?

La primera prioridad para que los CISO avancen en sus objetivos es asegurarse de que los miembros de la junta comprendan los problemas comerciales, no solo los problemas de TI, asociados con la ciberseguridad y resalten el daño que un ciberataque puede causar a una empresa. El uso de estudios de casos del mundo real en las reuniones trimestrales de la junta ayudará a aclarar el punto, por ejemplo, la lección objetiva entregada por la violación de datos de Yahoo 2013, que es posiblemente la más cara de la historia. Esta violación le costó a Yahoo $ 50 millones en daños, que se pagaron a los clientes, cuyos detalles se conocieron. Millones de dólares más en tarifas gratuitas de monitoreo de crédito que acordó como parte de su acuerdo para cuidar a las víctimas; y un descuento de 350 millones de dólares en el precio de venta a Verizon.

Sin embargo, no es suficiente que los CISO resalten el daño potencial que puede causar un ciberataque. Al trabajar con colegas de toda la empresa, también deben demostrar de manera convincente los beneficios de un programa cibernético sólido para una empresa, destacando la capacidad de generar fuentes de ingresos adicionales, dirigirse a nuevos clientes y vender a los clientes existentes.

Además de los aspectos comerciales de la ciberseguridad, los miembros de la junta deben comprender tanto las amenazas como los pasos para mitigarlas, de modo que puedan tomar decisiones estratégicas informadas para el negocio. Las presentaciones del CISO a la junta deben incluir una discusión sobre el panorama de amenazas en constante evolución. Los debates se centran en cómo los piratas informáticos seleccionan a sus víctimas, cómo entran en las redes, qué sistemas de seguridad pueden prevenir los ataques y qué tan efectivos son.

Lo que necesita ver la junta

Así como el CEO envía informes de estrategia corporativa y de presupuesto a los directores, los CISO deben presentar planes de seguridad que incluyan detalles de cómo los equipos de seguridad pretenden defender a la empresa y qué pueden hacer para minimizar el daño en caso de un ataque. Una vez que las juntas comprenden los problemas técnicos, pueden comprender las estrategias que se les presentan y considerar si es necesario hacer más.

Para representar aún más a los miembros de la junta, los CISO deben proponer una estructura de gobierno formal, similar a la que la junta usaría para otros objetivos comerciales, que permita la presentación de informes y el análisis de datos efectivos. Esta estructura debe incluir auditorías y revisiones periódicas, la asignación de derechos de propiedad, asegurar que el financiamiento sea adecuado para enfrentar los desafíos y necesidades, y el desarrollo de mecanismos de monitoreo y sistemas de rendición de cuentas con KPI medibles.

Los directores suelen ocupar este puesto debido a su visión para los negocios. Sin embargo, en el entorno cibernético actual, esa experiencia empresarial debe filtrarse a través de la lente del impacto potencial de un evento cibernético en una empresa. Al ayudar a su junta directiva a desarrollar una mentalidad de «ciber-primero», los CISO se ayudan a sí mismos y permiten que su negocio desarrolle una actitud cibernética más saludable y resistente.

Ronen Lago es CTO en CYE.

VentureBeat

La misión de VentureBeat es ser una plaza de la ciudad digital para que los responsables de la toma de decisiones tecnológicas obtengan conocimientos sobre la tecnología y las transacciones transformadoras. Nuestro sitio web proporciona información importante sobre tecnologías y estrategias de datos para ayudarlo a administrar su negocio. Te invitamos a convertirte en miembro de nuestra comunidad y acceder a:

  • información actual sobre los temas de su interés
  • nuestros boletines
  • contenido privado de líderes de opinión y acceso con descuento a nuestros valiosos eventos, como Transformar 2021: Aprende más
  • Funciones de red y más

conviértete en miembro

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *