[25/01/2021] Las violaciones de datos, los ataques ransomware y la preocupación por los riesgos relacionados con la pandemia mundial han aumentado el interés en la ciberseguridad entre las juntas directivas de las empresas. Los líderes de seguridad dicen que estas se han involucrado más en los asuntos de seguridad, tienen una comprensión más profunda de los asuntos cibernéticos, y han comenzado a hacer preguntas más sofisticadas sobre la exposición a los riesgos y las formas de manejarlos.
Aunque muchos siguen considerando a la seguridad como un costo de hacer negocios, un número cada vez mayor de miembros de la junta directiva la perciben como fundamental para el negocio. Con muchas empresas acelerando las iniciativas de transformación digital a raíz de la pandemia, las juntas directivas quieren entender cómo la seguridad puede hacer posible esos esfuerzos, y apoyar los requisitos empresariales en un entorno en el que la fuerza de trabajo está más distribuida.
"Las juntas directivas se han vuelto mucho más conocedoras de la tecnología y la seguridad", comenta Timothy Youngblood, CISO de McDonald's Corp. "En cierto modo están impulsados por la SEC y su expectativa de que las juntas tengan algún nivel de experiencia técnica", señala. Asimismo, la Asociación Nacional de Directores Corporativos y otros las han ayudado con mucha orientación sobre la ciberseguridad.
En consecuencia, las preguntas que las juntas están haciendo ahora a los líderes de seguridad han cambiado también. Aquí hay seis cuestiones de máxima importancia entre las juntas directivas actualmente, de acuerdo con Youngblood y otros.
1. Responsabilidad cibernética
Los CISOs deben estar más preparados para responder a las preguntas de la junta directiva sobre la responsabilidad cibernética, comenta Mathieu Gorge, director general de la empresa de gestión de riesgos VigiTrust y autor del nuevo libro The Cyber-Elephant in the Boardroom. La responsabilidad cibernética se refiere a la capacidad de una organización de demostrar que tiene una buena higiene cibernética, y que, si algo sale mal, pueden rastrear todo hasta un evento único, una persona única o un grupo único, anota Gorge.
Los CISOs deben estar preparados para explicar qué es la responsabilidad cibernética, por qué la organización debe preocuparse, cómo debe embarcarse en un viaje de responsabilidad cibernética y qué es lo que este comprende. "¿Es solo probar que podemos enfrentar un ciberataque y que tenemos un plan, o va más allá de eso? ¿A quién debe involucrar, cuánto cuesta y realmente lo necesitamos?", explica Gorge.
Al articular una respuesta, los líderes de la seguridad deben tener en cuenta que la junta directiva quiere oír sobre la responsabilidad del ecosistema general de la empresa. Eso significa que, además de su propia organización, los líderes de la seguridad deben ser capaces de describir cómo podrían hacer responsables a los franquiciados, a las filiales, a los socios comerciales, a los proveedores y a otros de poner en práctica las mejores prácticas de seguridad.
Ese ecosistema podría ser internacional o estar regulado por reglamentos y normas complejos y a menudo contradictorios, que requieren cierto nivel de responsabilidad. Los CISOs deben estar preparados para responder a lo que puedan estar haciendo, o tengan previsto hacer, para demostrar esa responsabilidad. "¿Lo demuestran siendo capaces de mapear el ecosistema, usando controles que les muestran lo que está sucediendo, o teniendo acceso clasificado a los datos por parte de los diversos interesados dentro de la organización?".
2. Estado de seguridad durante el COVID-19 y más
El cambio al trabajo remoto impulsado por la pandemia mundial hizo que se prestara más atención a las preguntas que las juntas directivas ya estaban haciendo sobre la seguridad cibernética, señala James Edgar, CISO de Fleetcor, compañía global de pagos comerciales.
Gran parte de la atención inmediata se centró en cómo el cambio al trabajo remoto afectaría la forma en que la empresa funcionaría desde el punto de vista empresarial general y de la TI. Las preguntas tenían que ver con si la organización era capaz de hacer la transición de la mayor parte de la fuerza de trabajo a un modelo remoto, y seguir apoyando al negocio.
Edgar dice que las preguntas que recibió de la junta incluyeron las relacionadas con la continuidad de los negocios y el impacto potencial en los principales proyectos de TI que ya estaban en marcha cuando se produjo la pandemia. "¿Podemos cumplir con las grandes cosas que sabemos que son críticas? ¿Somos capaces de mantener los niveles actuales de seguridad y cumplimiento? ¿Cuáles son nuestros puntos de referencia y los vamos a cumplir cuando superemos al COVID-19?"
A medida que las cosas se han estabilizado, el foco se ha desplazado hacia la capacidad de la organización para mantener su postura de seguridad en un mundo post COVID-19, y lo que se va a necesitar en forma de inversiones para lograrlo. Edgar dice que una estrategia que le ha funcionado es proporcionar a la junta actualizaciones trimestrales sobre el panorama de las amenazas y las tendencias generales en el espacio de seguridad. "Les proporcionamos actualizaciones regulares sobre lo que vemos y lo que hacemos con el software de rescate, la protección de los puntos finales y el monitoreo de la red. Nos ocupamos de lo que está sucediendo en el mundo y en Fleetcor", indica.
3. Estrategia de seguridad
Las juntas directivas están pensando mucho más estratégicamente sobre la ciberseguridad que hace unos años, comenta Youngblood. Muchos directores la ven como parte de sus responsabilidades fiduciarias, y sus deberes de cuidado y lealtad.
"Las preguntas que se hacen hoy en día tienen que ver con cómo se está haciendo con lo que no está bajo su control -como con los terceros", anota Youngblood. Con tanta externalización y subcontratación, los directores quieren oír cómo se están protegiendo las inversiones de las empresas en ciberseguridad. Quieren entender lo que la organización está obteniendo de ellas y si hay algo que afecta los objetivos de la empresa.
Youngblood dice que a los directores de la junta les gusta escuchar sobre la preparación de la organización para responder a los incidentes cibernéticos, y si existen controles para detectar las amenazas antes de que se conviertan en un problema importante. Quieren saber si la ciberseguridad está vinculada a la cadena de transformación digital de tal manera que la seguridad se construya en cada paso en lugar de ser simplemente atornillada al final. Es significativo que las juntas directivas quieran saber cada vez más sobre cualquier inversión que la organización no haya hecho, y que pueda tener un impacto negativo en el riesgo cibernético, sostiene.
Responder a tales preguntas puede ser difícil, por lo que es una buena idea que el CIO, el CPO y otras partes interesadas participen en una reunión de la junta. Cuando hable con ésta sobre temas de seguridad estratégica, asegúrese de que no haya sorpresas para el CIO en su presentación, señala. Comprenda el apetito de riesgo de su junta directiva y asegúrese de enmarcar el riesgo cibernético en el contexto más amplio de la gestión de riesgos de la empresa.
"Mi enfoque recomendado en torno a esto empieza por ser capaz de hablar en términos del negocio y de los resultados empresariales", señala Youngblood. "Lo que no hago es entrar en una conversación hablando de las cosas de una manera más táctica".
4. Compararse con las mejores prácticas de la industria
Hay un alto nivel de interés dentro de juntas directivas de qué tan bien -o no- cuadra la postura de seguridad de la organización contra sus pares, sostiene Brandon Hoffman, CISO de Netenrich, proveedor de servicios en la nube. Una de las causas podría ser el hecho de que, en situaciones de infracción, las medidas de seguridad de una empresa a menudo se comparan con las mejores prácticas de la industria o con las prácticas empleadas por los pares.
"Hay un gran interés en los niveles más altos por comprender el riesgo relativo a la industria", indica Hoffman. A menudo esas comparaciones por sí mismas no contribuyen mucho a fomentar un entorno más seguro y menos arriesgado. Aun así, muchas juntas directivas lo desean porque hay pocos métodos para medir eficazmente la seguridad en un contexto empresarial.
"Uno de los mayores errores que cometen los CISOs es no contextualizar el riesgo relacionado con la seguridad con el riesgo empresarial", indica Hoffman. "En su lugar, los informes giran en torno a marcos de cumplimiento y mediciones técnicas", que en el mejor de los casos son indicadores de la acción cotidiana/diaria. "Lamentablemente, esto realmente no ayuda a los ejecutivos ni a la junta directiva a comprender el impacto en el negocio".
5. Resiliencia a los ataques cibernéticos
Aunque las juntas están cada vez más interesadas en la ciberseguridad a nivel estratégico y de gestión del riesgo empresarial, siguen profundamente comprometidas con cuestiones relacionadas con la capacidad de la organización para responder y defenderse de los ataques cibernéticos. Quieren saber cómo se está utilizando a las personas, los procesos y la tecnología para reducir el riesgo en la medida de lo posible, manteniendo al mismo tiempo un equilibrio adecuado entre la productividad y la seguridad, señala Joseph Carson, asesor CISO y jefe de seguridad de Thycotic.
Entre las preguntas que es probable que hagan las juntas directivas y que los CISOs deben estar preparados para explicar, se incluye la exposición de los servicios empresariales clave a amenazas como el ransomware y las medidas adoptadas para reducir el riesgo de que un servicio empresarial se vea afectado por un ataque ransomware o de otro tipo. "Qué amenaza es la que tiene más probabilidades de afectar a la empresa y cuál es la exposición financiera y las opciones para reducir el riesgo", indica. "¿Cuál es nuestra brecha de riesgo cibernético, tal como el costo de reducir el riesgo versus al costo de no hacer nada?"
Prepárese para las preguntas sobre los planes de respuesta a incidentes y si ha probado la exposición para cada una de las amenazas potenciales más probables para el negocio. "¿Qué estamos haciendo para segmentar cada parte del negocio y controlar el acceso?", indica Carson. "¿En qué regulaciones y requisitos de cumplimiento estamos más allá, cumpliendo o no cumpliendo, y cómo se alinean con los riesgos cibernéticos del negocio?"
6. Cumplimiento continuo
Prepárese para hablar de cumplimiento continuo y seguridad continua, señala Gorge. Los miembros de la junta tienen la tendencia a preguntarse en cuánto tiempo una inversión en ciberseguridad comprará la empresa. "La pregunta es, 'ok, vamos a hacer esto una vez y vamos a estar bien durante unos años, ¿verdad? ¿O tengo que hacer esto de forma continua?'", anota.
Aquí es donde los CISOs y otros líderes de la seguridad necesitan introducir la idea de que la seguridad y el cumplimiento son un viaje y no un destino, sostiene Gorge. Necesitan mostrar que a medida que el negocio evoluciona, también lo hacen las necesidades de seguridad. Es importante que los líderes de seguridad enfaticen la necesidad de continuar invirtiendo en ciberseguridad en términos de dinero, tiempo y esfuerzo; y explicar cómo en el transcurso de tres a cinco años tales inversiones darán lugar a una reducción de los costes, una mejora de la seguridad, una mayor confianza de los clientes y otros beneficios tangibles.
Tanto con la responsabilidad cibernética como con el cumplimiento continuo, el mayor desafío para los CISOs es mostrar cómo la ciberseguridad puede ser un habilitador de negocios y no solo un costo, indica Gorge. "En lugar de decir, 'si no lo hacemos, podría haber un incidente de seguridad', mostrar cómo se pueden utilizar los modelos existentes para poner la ciberseguridad en el balance de una manera que realmente añada valor".
Basado en el artículo de Jaikumar Vijayan (CSO) y editado por CIO Perú