Cómo conseguir la participación del Consejo de Administración en materia de ciberseguridad

Conseguir que el Consejo de Administración se comprometa con los asuntos relacionados con la ciberseguridad debería ser cada vez más fácil. Casi todas las empresas se han digitalizado, o están en proceso de hacerlo, y los riesgos de interrupción de la infraestructura informática y los datos que contiene son cada vez más claros. Los ciberataques a sectores y organizaciones ya llegan con frecuencia a los titulares, y el panorama regulatorio se ha vuelto cada vez más duro con las infracciones —accidentales o deliberadas— que implican datos personales.

Esta evolución se ha producido al mismo tiempo que un cambio rápido, causado por la pandemia, hacia una mano de obra repartida en distintos espacios. Ahora, muchos trabajadores inician sesión desde redes domésticas y con dispositivos personales, por lo que las posibilidades de sufrir un ciberataque se han ampliado y el modelo tradicional basado en perímetros de ciberseguridad ha desaparecido.

Los CISO, que han liderado la defensa de estas fronteras digitales en constante cambio, comprenden todos los detalles del alcance y la escala de los riesgos a los que se enfrenta la empresa, así como las consecuencias de no adoptar una estrategia de ciberseguridad sólida. Sin embargo, hay un reto al que aún nos enfrentamos: cómo conseguir el compromiso del Consejo de Administración.

El CISO y el Consejo de Administración: separados por un idioma común

En un seminario web de TEISS que provocó un animado debate, los expertos debatieron cómo conseguir que el Consejo de Administración se comprometa con la ciberseguridad. Jon Herd, vicepresidente de Seguridad de la Información de la empresa de infraestructura de pagos Paddle, describió un escenario que podría ser familiar para muchos directores de seguridad de la información en sus presentaciones al Consejo de Administración:

«Muchas veces he hablado con el Consejo de Administración muy seguro de mí mismo y, aun así, luego no ha cambiado nada. El resultado no fue el que esperaba, y me quedé pensando «¿Por qué no han entendido lo que les he explicado? ¿Por qué no han entendido que hacía tantos gestos porque estaba emocionado y no porque hablaba de caos?»

Esta barrera de comunicación entre los profesionales de la ciberseguridad y el Consejo de Administración se debe, parcialmente, al miedo, la incertidumbre y las dudas que sienten muchos expertos en temas distintos de la informática cuando se les habla de la escala de las amenazas digitales. Los ataques de ransomware aparecen con frecuencia en los titulares y las vulnerabilidades de la cadena de suministro ocupan cada vez más espacio en las columnas, por lo que los consejeros están familiarizados con la narrativa del caos, pero conocen menos las posibilidades que ofrece un enfoque robusto de la ciberseguridad a las empresas. Lo que el director de Seguridad de la Información (CISO) debe hacer es enmarcar la estrategia de ciberseguridad en términos que su Consejo de Administración pueda entender.

Vincular la estrategia de ciberseguridad a la estrategia empresarial

Los expertos de TEISS aconsejaron no explicar las características y capacidades de la tecnología en la que se quiere invertir, sino centrarse en lo que permite que la empresa obtenga.

Este enfoque está más cercano al objetivo principal del Consejo, que es crear valor para los grupos de interés. Para los profesionales de la tecnología, es esencial comprender el objetivo y la estrategia de la empresa de la misma manera que el Consejo de Administración, así como responder a la pregunta: «¿Cómo puedo garantizar que lo que estoy haciendo contribuye al éxito de la empresa?».

Esta perspectiva debe determinar cómo se presenta la información al Consejo de Administración y garantizar que reciban información relevante que les ayude a tomar decisiones empresariales. Los CISO deben plantearse cómo afecta la estrategia de ciberseguridad a todos los grupos de interés relacionados con el Consejo: inversores, clientes, empleados y organismos reguladores.

En relación con esto, debe explicarse no solo lo que la inversión en ciberseguridad evita que ocurra —el tiempo de inactividad, las pérdidas financieras y los riesgos de cumplimiento normativo—, sino también lo que posibilita: la continuidad del negocio, la confianza de los clientes, una mejor experiencia de los empleados y la reducción de la complejidad. Esto es particularmente pertinente a medida que las empresas van actualizando su tecnología de ciberseguridad para usar soluciones nuevas, más fáciles de usar y menos intrusivas. Si ahora puede gestionarse la administración de la identificación de los usuarios de forma segura con menos inconvenientes, por ejemplo, habrá un aumento de productividad inmediato.

Es importante articular el mensaje alrededor de las personas, los procesos y la tecnología. Si las presentaciones para el Consejo de Administración se centran en los productos tecnológicos más avanzados e impresionantes, puede ser difícil para los consejeros establecer una conexión con el día a día de la empresa y las personas que la conforman. Esto es algo que se entiende de una manera más clara en relación con otros temas de riesgo, como la salud y la seguridad, y debe ser extrapolable a la tecnología de seguridad.

Jon Herd está en el proceso de comprender mejor la forma de pensar del Consejo de Administración: «Estoy haciendo un curso de consejeros no ejecutivos, pero no porque quiera convertirme en uno […]. Quiero entender cuáles son sus objetivos y sus obligaciones, para poder comprenderlos mejor».

Integrar el ciberriesgo de los datos y la privacidad en el contexto empresarial

Una de las funciones principales del Consejo de Administración es la supervisión estratégica del riesgo. Hoy en día, esto incluye, sin duda, el riesgo relacionado con los datos y la privacidad. En algunas jurisdicciones se exige específicamente que los consejos de administración supervisen el ciberriesgo.

Sin embargo, es importante tener en cuenta que los consejos de administración se enfrentan a muchos flujos de riesgo y problemas empresariales diferentes, y el ciberriesgo es solo uno de ellos.

El CISO de Diligent, Henry Jiang, cree que esto puede convertirse en una ventaja, especialmente si los datos sobre el ciberriesgo pueden comunicarse en un formato conocido y sencillo: «El modelo correcto es traducir el ciberriesgo al idioma del Consejo de Administración. Debemos tratarlo en términos de riesgos para las personas, los procesos y la tecnología, ya que así lo comprenderán, y comunicarlo de forma clara y constante: ya hay plataformas tecnológicas que lo hacen. Los consejos de administración ya comprenden otros tipos de riesgo, como el crediticio, el normativo y el legal, ¿por qué no presentar el ciberriesgo como otro más?»

A la hora de hablar del ciberriesgo, los CISO deberían tratar de utilizar el mismo idioma que usan los responsables del riesgo empresarial, afirma dice Jon Herd: «En tecnología tenemos tendencia a inventar formas nuevas de hablar de las cosas», señala, pero eso puede ser contraproducente. «El riesgo es un idioma que muchos ya comprenden perfectamente, el elemento nuevo es la ciberseguridad […]. Deberíamos hablar con el director de Riesgo o con el director financiero, y preguntar: “¿Cuál es el marco y el idioma que debemos usar nosotros para que vosotros lo entendáis?”»

La frecuencia con la que los consejos de administración deben recibir informes sobre el ciberriesgo ha aumentado debido a la velocidad a la que evoluciona este. La pandemia ha traído una época en la que los consejos de administración se reúnen con mayor regularidad debido al increíble ritmo de los cambios y al reconocimiento de que los factores externos, como las ciberamenazas, pueden cambiar de la noche a la mañana. Esto también mejora la comprensión básica de los consejeros cuando sucede un incidente.

Mejorar las habilidades del Consejo de Administración en cuanto a ciberseguridad y del CISO en cuanto a la participación del Consejo de Administración

En el contexto actual, los CISO deben situarse en el «punto de inflexión entre la tecnología y el riesgo», dice Chris Dunning-Walton, fundador y MD de InfoSec People. Sin embargo, los consejos de administración no deben pensar que basta con chasquear los dedos para tener un CISO que les transmita la información estratégicamente.

Chris considera que el Consejo de Administración debe trabajar desde una posición intermedia y, en un área tan importante como el ciberriesgo, señala que estamos viendo designaciones en consejos de administración de consejeros no ejecutivos que anteriormente eran CISO de la empresa, para ofrecer una perspectiva desde su punto de vista y convertirse en una especie de traductor.

«Creo que es una solución a corto plazo; la solución a largo plazo es aumentar y desarrollar el conjunto de habilidades de ese líder en el campo de la informática de su organización, para ofrecerle formación y desarrollar sus habilidades de liderazgo, para que sean capaces de entrar en la sala de juntas y presentar la ciberseguridad no solo como reducción de riesgos, sino como una ventaja para la empresa» continúa Chris.

Utilizar la narración para comunicar la evolución de los riesgos y las recompensas a lo largo del tiempo

A los CISO puede resultarles difícil encontrar el equilibrio entre comunicar los mayores riesgos de cada momento y ofrecer un panorama más estratégico a largo plazo.

Henry Jiang aconseja a los CISO: «No hay que asustar al Consejo de Administración, sino ofrecerles un mensaje sólido sobre dónde se necesita apoyo, ya sea organizativo, financiero o en otras áreas. O puede informarles de que no hace falta apoyo en ese momento porque todo va bien».

Chris Dunning-Walton está de acuerdo, y añade: «El papel del CISO no es solo conseguir la mayor cantidad de dinero […]. Se trata de equilibrar las necesidades de la empresa con el riesgo externo […], no solo para tratar de obtener el mayor importe posible».

Desde su experiencia, Jon Herd sugiere: «No se limite a comunicar los mayores riesgos ni los que ocupen los titulares en ese momento. Cuénteles una historia, de la misma manera en que lo hacen Finanzas y Ventas, explicando: «Estábamos aquí, está sucediendo esto y hacia allí es donde vamos. Es una historia, no algo puntual».

Jon cree que este enfoque es el que consigue más compromiso, porque es lógico y tiene sentido para el Consejo de Administración en el contexto de la estrategia empresarial global. Crear una historia que ofrece un contexto a la ciberseguridad proporcional a la empresa y relacionarla con la cuenta de resultados, los costes, los riesgos y las recompensas implica que los consejeros vean la lógica de la ciberseguridad en relación con la misión y el objetivo de la empresa.

Descubra más consejos de expertos para conseguir que el Consejo de Administración se comprometa con la ciberseguridad: viendo este webinar y puede solicitar más información en la página web de Diligent.