El papel del CISO en el Consejo de Administración

En este artículo detallamos cuál es el papel que el CISO debe desempeñar en el Consejo de Administración. Expresado de manera sintética, el CISO debe garantizar que el Consejo de Administración comprende la estrategia de ciberseguridad de la empresa. Para lograr esa comunicación efectiva, el CISO debe evitar algunos errores comunes en su relación con el Consejo de Administración, como emplear un lenguaje de seguridad demasiado técnico. En este artículo, especificamos ese tipo de fallos, para favorecer su corrección y contribuir a pulir el papel del CISO en el Consejo de Administración. También explicamos el valor que juega el rol que desempeñan los CISO en la elección de métricas que generen un valor añadido para posibilitar y medir el éxito de la estrategia de ciberseguridad. También resulta crucial que los CISO sepan responder de una manera sencilla y pedagógica a las preguntas que les pueden plantear desde el Consejo de Administración, como por ejemplo explicar con claridad cuál es la estrategia de nuestra organización en términos de seguridad o transmitir adecuadamente la visión sobre el riesgo a nuestros clientes.

Elegir métricas de ciberseguridad significativas

Los directores de seguridad de la información (CISO) manejan cientos de métricas de seguridad cibernética, pero solo una fracción de ellas será relevante para el Consejo de Administración y el C-Suite. Un buen CISO es capaz de espigar los datos más relevantes y comunicarlos con un criterio coherente, de una manera inteligible, elaborando un relato comprensible, desprovisto de detalles técnicos complejos.

6 pasos para seleccionar métricas de ciberseguridad

1) Concéntrese en los datos que marcan la diferencia en la toma de decisiones. Escoja aquellas métricas que posibilitan ejecutar decisiones comerciales o que ofrecen una información útil para el desarrollo de esa clase de directrices.

2) Delimite qué es un riesgo bajo, medio y alto. A pesar de que existen marcos de riesgo de ciberseguridad, se ha desarrollado poca estandarización en la seguridad de la información. De ahí que sea tan importante fijar una pauta general que establezca diferentes tipos de riesgos, así como umbrales para contribuir a priorizarlos.

3) Organizar métricas por departamentos. Discriminar datos por departamentos permite afinar en la gobernanza y las operaciones de seguridad. Al disponer de una información más pormenorizada, sus ejecutivos tomarán decisiones más afinadas con la realidad y los retos que presentan sus equipos.

4) Analice la eficiencia con la que se reducen riesgos. Esta pauta habla de la calidad y celeridad con la que se establecen las reparaciones. Por ejemplo, es importante saber cuáles de ellas están abiertas después de 60 días.

5) Emplee la tecnología adecuada. La idea es que use un software potente y competente, que sea capaz de alternar información de reglamentos tan diversos como el RGPD (el Reglamento General de Protección de Datos europeo) o el HIPAA (Ley de Transferibilidad y Responsabilidad del Seguro Sanitario, por sus siglas en inglés, una de las leyes de protección de datos que afecta a franjas de población más amplias en los Estados Unidos).

Resulta esencial que su solución tecnológica pueda procesar datos a través de un motor de análisis con alta capacidad, al tiempo que los organiza con eficiencia y crea gráficos que los ilustran, a través de una solución de gestión de ciberseguridad centralizada.

6) Esté preparado para comparar. El Consejo a menudo querrá disponer de una comparativa entre la postura de seguridad de su organización y la de la competencia, con la idea de que su apuesta sea más fiable y consistente en el corto y medio plazo, ya que es un factor competitivo que hará más atractiva su propuesta en términos de rentabilidad.

Presentación de riesgos de ciberseguridad en el Consejo

Los CISO deben ser capaces de articular una narrativa del riesgo de seguridad cibernética como una oportunidad comercial estratégica (explicando por qué aporta valor a su entidad) en lugar de que todo su discurso se centre en el riesgo operativo. También es importante que el CISO expliqué al Consejo de Administración el valor que aportan las métricas para tangibilizar avances en el cumplimiento de objetivos y estar alineadas con los propósitos de la organización. Se trata en definitiva de aceptar el reto de convertir los fríos números en una historia que transmita capacidad de resiliencia empresarial y creación de valor, que armonice el pasado, el presente y el futuro de su organización.

Algunos errores bastante frecuentes que el CISO debe evitar en su interlocución con el Consejo de Administración

Para nutrir este epígrafe, nos hemos remitido a este valioso artículo de Computerworld, que ilustra muy bien la clase de problemas de comunicación que a veces dificultan el entendimiento entre el CISO y el Consejo de Administración. El fallo más habitual es que a los Directores de Seguridad les suele gustar refugiarse en jerga técnica para validar su papel, pero esos tecnicismos generan una falta de compresión en los componentes del Consejo de Administración, que suele traducirse en falta de atención e, incluso, irritabilidad por no poder seguir con fluidez el hilo de la comunicación. Para evitar esa desconexión, los CISO deben enfocar su mensaje en cómo la seguridad posibilita al negocio explorar nuevos mercados, modelar nuevas iniciativas y minimizar la exposición a pérdidas anuales. En opinión de Peter Prizio, CEO de Booz Allen Hamilton, los CISO necesitan orientar su trabajo y su relato en los aspectos que más le importan a la empresa: preservar y fortalecer su reputación, custodiar las claves de información (relativas a productos, servicios, clientes y stakeholders), así como garantizar las operaciones comerciales.

Preguntas habituales que un CISO debe saber responder cuando interactúe con el Consejo 

Además, resulta esencial que el CISO esté mentalizado (y haya elaborado previamente una narrativa satisfactoria) para atender a las preguntas que se destacan en este informe de Galvanize. Se trata de cuestiones que, con frecuencia, los consejeros suelen formular cuando el CISO presenta la estrategia de ciberseguridad al Consejo. Entre esas preguntas, el CISO debe clarificar cuál es la postura de seguridad de nuestra organización. O, lo que es lo mismo: aclarar el nivel de madurez de la empresa antes, durante y después de un ciberataque. En ese sentido, no es lo mismo la prioridad de seguridad de una empresa centrada en el comercio electrónico, para la que es fundamental la operatividad de la plataforma de venta, que la de una empresa de tecnología, más enfocada en proteger la integridad de sus datos. En ese discurso, también ocupa un papel preferente responder a la pregunta de qué se está haciendo para mitigar el riesgo de terceros y salvaguardar nuestra cadena de suministro.

Sea como fuere, los riesgos de terceros no hacen más que incrementarse, sobre todo entre las organizaciones que se están estructurando a partir de las tecnologías emergentes, como por ejemplo la computación en la nube (un modelo de entrega donde el almacenamiento, los servidores, las aplicaciones y otros elementos se entregan por Internet). En esa cartografía de riesgos, se incluye una casuística que contempla la posibilidad de que un ex-empleado utilice una cuenta de red social de su compañía y publique algo inapropiado. También resulta esencial organizar un protocolo de relaciones públicas que contribuya al control de daños, si lo necesitamos (de esta manera, nos ahorraremos una gran cantidad de tiempo, recursos, estrés y daño reputacional si se nos ocurre configurar esa estrategia en pleno desastre de ciber-agresión).