Por: Carlos Patiño*
Puede ser un trabajo agotador para los responsables de la seguridad y sus equipos, sobre todo cuando a menudo carecen de presupuesto, recursos y apoyo de la junta directiva para crear estrategias y marcos de seguridad suficientemente sólidos para proteger a su organización.
De hecho, una investigaciónn del sector TI, muestra que solo el 21% de los directores de seguridad de la información alrededor del mundo, están de acuerdo con sus juntas directivas en lo que respecta a la ciberseguridad. Es una estadística preocupante, sobre todo si se tiene en cuenta que la ciberseguridad nos afecta a todos.
Entonces, ¿cómo deberían los líderes de la seguridad y las juntas directivas generar un vínculo entre la desconexión de la seguridad cibernética y demostrar el inmenso valor comercial al alinear adecuadamente el tiempo, los recursos y el presupuesto para su mantenimiento?
1. Crear líneas de comunicación abiertas y claras
Las organizaciones que carecen de comunicación y coordinación en sus niveles superiores representan el caldo de cultivo perfecto para la ciberdelincuencia. Por eso es tan importante asegurarse de que las comunicaciones de los ejecutivos y de la junta directiva sobre ciberseguridad sean niveladas y sean comunicadas de manera simple. Después de todo, la seguridad a menudo conlleva una complejidad percibida, pero eso se puede superar rápidamente al comunicar los riesgos comerciales claros a la junta directiva de la manera correcta.
Con este fin, los líderes de seguridad siempre deben enmarcar y contextualizar las conversaciones ante la junta, ser abiertos y honestos sobre el estado de la posición de seguridad cibernética de su organización y cómo esa postura impacta el riesgo general que asume la empresa.
Para generar conciencia y comprensión entre la junta, estas conversaciones deben seguir el mismo marco que cualquier otra área de riesgo, preguntando:
- ¿Tenemos las prácticas y los recursos para identificar los riesgos cibernéticos?
- ¿Establecemos una calificación de inclinación y tolerancia para los riesgos?
- ¿Supervisamos y gestionamos los riesgos y los recursos adecuadamente?
2. Definir claramente los roles y responsabilidades
Si bien siempre es importante que las juntas piensen activamente en el riesgo cibernético, también deben centrarse en la resiliencia digital general, de la cual la ciberseguridad es un componente importante. Sin embargo, hay una variedad de problemas de seguridad y resiliencia digital que las juntas deben considerar, que invariablemente se entrelazan y se alinean con el riesgo de marca.
Con demasiada frecuencia, las juntas tratan erróneamente de gestionar el riesgo cibernético, en lugar de gobernar la gestión del riesgo por parte del líder de seguridad (y su equipo). Las juntas no deben dirigir la gestión del riesgo y las operaciones, sino que deben gobernar y validar los niveles de tolerancia al riesgo.
Después de todo, los altos dirigentes no están allí solo para ejecutar la estrategia. Sí, deben promover y defender las nuevas innovaciones, marcando la pauta en toda la organización. Pero también deben dar al equipo de seguridad la autonomía y el apoyo necesarios para centrarse en ser el «departamento del cómo» cuando se trata de innovación, en lugar de la percepción de que la seguridad es el «departamento del no».
3. Trabajar con el CEO para medir el progreso
La medición efectiva es un imperativo para crear estrategias exitosas de ciberseguridad que perdurarán en el tiempo. Ahí es donde el líder de seguridad y el CEO pueden trabajar en estrecha colaboración para desarrollar medidas claras y concisas que permitan a los miembros de la junta monitorear el progreso. Las mediciones deben ser apropiadas y presentarse de manera clara y comprensible.
En lo que respecta a la medición, es fundamentalmente el trabajo del CEO guiar los temas de riesgo, mientras que corresponde a los líderes de seguridad proporcionar a la junta directiva una visión de riesgo integrada que articule las prioridades de inversión en seguridad y los complejos escenarios de riesgo convergentes de forma clara y sin jerga técnica.
Acabar la desconexión
La mejor apuesta de una organización para establecer una postura de seguridad efectiva se basa en tener una junta directiva involucrada y comprometida. Una, en el que los equipos ejecutivos y las juntas directivas no solo se fijen en los problemas, sino también en las soluciones para hacer que sus organizaciones sean más resistentes al delito cibernético. Al cerrar la desconexión entre los líderes de ciberseguridad y sus juntas directivas, las organizaciones pueden prepararse mejor para proteger, detectar, responder y recuperarse del cada vez más omnipresente mundo de la ciber-d