por Dr. Keri Pearlson y Chris Hetner
Una norma propuesta por la SEC exigirá que las empresas revelen sus capacidades de gobernanza de la ciberseguridad, incluida la supervisión del riesgo cibernético por parte del consejo, una descripción del papel de la dirección en la evaluación y la gestión de los riesgos cibernéticos, la experiencia relevante de dicha administración y el papel de la dirección en la implementación de la empresa políticas, procedimientos y estrategias de ciberseguridad. El cumplimiento de los nuevos requisitos reglamentarios se puede lograr mejor alineando la forma en que los líderes operativos discuten la ciberseguridad con sus consejos de administración. Los directores de operaciones deben empezar a presentar sus planes de una manera que se alinee con la forma en que mejor contribuyen las juntas directivas: el lenguaje del riesgo, la resiliencia y la reputación.
•••
Los consejos ahora prestan atención a la necesidad de participar en la supervisión de la ciberseguridad. Las consecuencias no solo despiertan preocupación, sino que el nuevo reglamento está subiendo la apuesta y cambiando las reglas del juego.
Los consejos de administración tienen un papel especialmente importante para garantizar una gestión adecuada del riesgo cibernético como parte de su función fiduciaria y de supervisión. A medida que aumentan las ciberamenazas y las empresas de todo el mundo aumentan sus presupuestos de ciberseguridad, la comunidad reguladora, incluida la SEC, está proponiendo nuevos requisitos que las empresas deberán conocer a medida que refuerzan su estrategia cibernética.
La mayoría de las organizaciones que hemos estudiado se centran en la ciberprotección más que en la ciberresiliencia, y creemos que es un error. La resiliencia es más que una simple protección, es un plan de recuperación y continuación del negocio. Ser resiliente significa que ha hecho todo lo que ha podido para proteger y detectar un ciberincidente, y también ha hecho todo lo que ha podido para asegurarse de que puede seguir operando cuando se produce un incidente. Una empresa que solo invierte en protección no gestiona el riesgo asociado con ponerse en marcha de nuevo en caso de un ciberincidente.
Nuestra investigación indica que la mayoría de los miembros del consejo de administración creen que no se trata de si su empresa sufrirá un ciberevento, sino de cuándo. El objetivo final de una organización ciberresiliente sería cero interrupciones por una ciberviolación. Eso hace que centrarse en la resiliencia sea más importante.
El nuevo reglamento de la SEC cambiará el papel de la junta
En marzo de 2022, la SEC emitió una propuesta de norma tituladaGestión de riesgos de ciberseguridad, estrategia, gobierno y divulgación de incidentes. En él, la SEC describe su intención de exigir a las empresas públicas que revelen si sus consejos tienen miembros con experiencia en ciberseguridad: «La ciberseguridad ya es una de las principales prioridades de muchos consejos de administración y los incidentes de ciberseguridad y otros riesgos se consideran una de las mayores amenazas para empresas. En consecuencia, los inversores pueden considerar importante divulgar si algún miembro del consejo tiene experiencia en ciberseguridad, ya que consideran su inversión en el registrante y sus votos en la elección de los directores del registrante».
La SEC pronto exigirá a las empresas que revelen sus capacidades de gobernanza de la ciberseguridad, incluida la supervisión del riesgo cibernético por parte del consejo, una descripción del papel de la dirección en la evaluación y la gestión de los riesgos cibernéticos, la experiencia relevante de dicha administración y el papel de la dirección en la implementación de la políticas, procedimientos y estrategias de ciberseguridad. Concretamente, cuando sea pertinente a la supervisión de la junta, los inscritos deberán revelar:
- si toda la junta, un miembro específico de la junta o un comité de la junta es responsable de la supervisión de los riesgos cibernéticos,
- los procesos mediante los que se informa a la junta sobre los riesgos cibernéticos y la frecuencia de sus debates sobre este tema,
- si el consejo o el comité específico de la junta considera los riesgos cibernéticos como parte de su estrategia empresarial, gestión de riesgos y supervisión financiera, y cómo.
La buena noticia es que las juntas directivas están progresando en este ámbito. Una investigación reciente que realizamos con el socio de investigación Proofpoint mostró que casi dos tercios de los miembros del consejo creen que la organización corre el riesgo de sufrir un ciberataque material. Casi tres cuartas partes de los encuestados consideraron que la inversión que su organización ha realizado en ciberseguridad es adecuada, y casi la misma cantidad cree que la ciberseguridad es una de las principales prioridades. El 76 por ciento informó que los asuntos de ciberseguridad se discuten en todas las reuniones de la junta, o con más frecuencia que eso.
Sin embargo, nuestra investigación también descubrió actitudes y creencias que deben cambiar. Solo el 23% de los miembros de la junta piensa que el riesgo de un ataque a su organización es muy probable. Alrededor del 47% cree que su organización no está preparada para un ciberataque, lo que plantea la pregunta «¿qué están haciendo al respecto?» Y alrededor de un tercio de los miembros de la junta dicen que interactúan con el CISO solo cuando hace una presentación ante la junta. Está claro que hay margen de mejora para alinear a los miembros de la junta con las prioridades de ciberseguridad de la organización.
Ajuste de actitud de ciberseguridad de los miembros
Para proporcionar una supervisión adecuada y cumplir con el entorno reglamentario, los miembros de la junta tendrán que mejorar su juego de ciberseguridad. Ya no basta con enterarse de las protecciones establecidas o de los resultados del último ejercicio de suplantación de identidad. Los miembros de la junta deben adoptar la postura de que los ciberataques son probables y ejercer su función de supervisión para garantizar que los ejecutivos y los directivos se han preparado adecuadamente para responder y recuperarse. Al fin y al cabo, si asumimos que todas las organizaciones corren un riesgo probable de ser violadas o atacadas y que no es posible estar protegidas al 100% de cada ataque, el enfoque más racional es asegurarnos de que la organización puede recuperarse con poco o ningún daño a las operaciones, a los resultados financieros y a la reputación de la organización.
Desarrollar la resiliencia en una organización requiere una supervisión adecuada por parte de la sala de juntas basada en un plan claro basado en el análisis empresarial y económico. He aquí algunas historias sobre cómo lo han hecho las empresas que estudiamos.
El CEO de una empresa de servicios financieros se dio cuenta de que su junta no conocía bien el contexto empresarial ni el riesgo de exposición financiera de un ciberataque. Contrató a una consultora externa para que realizara una evaluación de madurez en ciberseguridad. El CISO de la empresa presentó los resultados del informe al subcomité de gestión de riesgos empresariales, creando un diálogo productivo sobre el impacto empresarial y financiero de las diferentes inversiones en ciberseguridad. Las situaciones hipotéticas de invertir en diferentes niveles de madurez ayudaron a la junta a entender las compensaciones financieras y de riesgo y le proporcionaron el lenguaje y la perspectiva necesarios para llevar a cabo la necesaria supervisión de los planes de ciberseguridad ofrecidos por el equipo ejecutivo.
Otra organización centró su junta directiva en la alineación de su programa de ciberseguridad y el riesgo operativo. El CISO, en colaboración con el director de riesgos, aprovecha los análisis financieros para ayudar a cerrar la brecha entre las ciberexposiciones y las pérdidas operativas. La junta pudo entender la exposición de la organización desde una perspectiva de riesgo, lo que dio como resultado la optimización de su póliza de seguro cibernético como forma de mitigar el riesgo recién entendido.
Al utilizar el lenguaje del riesgo, la resiliencia y la reputación en las conversaciones sobre ciberseguridad con los miembros de la junta, los ejecutivos de operaciones son capaces de cerrar las brechas que a menudo se producen entre las necesidades técnicas que se ven para satisfacer las necesidades de ciberseguridad y las responsabilidades de supervisión que desempeñan los consejos. Quizás Peter R. Gleason, presidente y CEO de la Asociación Nacional de Directores Corporativos (NACD), lo expresó mejor cuando dijo: «Muchos directores nos han dicho que es necesario entender la exposición financiera que resulta del ciberriesgo, ir más allá de la ciberseguridad técnica centrada en las amenazas. presentaciones que reciben la mayoría de las juntas».
A medida que dependemos cada vez más de los consejos de administración para extender sus responsabilidades fiduciarias a los planes de ciberseguridad, los gerentes de operaciones también deben asumir su papel presentando esos planes de una manera que se alinee mejor con la forma en que las juntas contribuyen. El cumplimiento de los nuevos requisitos reglamentarios se puede lograr mejor alineando la forma en que los líderes operativos discuten la ciberseguridad con sus consejos de administración.
Aumente la experiencia en ciberseguridad en su sala de juntas
He aquí algunos datos prácticos que comenzarán hoy para que su junta cumpla (o supere) las nuevas directrices de la SEC y proporcione el nivel adecuado de supervisión de los planes de ciberseguridad:
1. Desarrolle un lenguaje común para debatir las complejas cuestiones del ciberriesgo y la resiliencia.
Los foros quieren simplificar los debates técnicos y confusos repletos de términos de seguridad matizados. No es que no tengan importancia, simplemente no son tan eficaces para la junta como un análisis económico que muestre cómo los ciberataques ponen en peligro a las organizaciones desde el punto de vista financiero a corto y largo plazo y cómo la organización volverá a funcionar, es decir, resiliente. Nuestra investigación muestra que las compañías de seguros están tomando la iniciativa en este sentido, al cambiar la conversación cibernética de una conversación sobre seguridad altamente técnica y ambigua a una en la que las empresas puedan entender y gestionar de forma eficaz su exposición financiera.
2. Mantenga la ciberresiliencia en la agenda de la junta y en las conversaciones con la dirección.
Nuestra investigación indica que las juntas directivas están escuchando sobre ciberseguridad por parte de la gerencia, pero las discusiones deben tener lugar con más frecuencia. No es una decisión del tipo «uno y listo», es un objetivo que cambia y cambia continuamente. Cuanto más a menudo se expone la junta a la situación cibernética de su organización, más se siente cómodo y experto se vuelve.
3. Construya puentes más amplios entre los ejecutivos de ciberseguridad y los miembros del consejo
Los miembros de la junta deben tener acceso y relacionarse con los expertos en ciberseguridad de la organización. Si bien invitar a los CISO a informar a la junta ayuda con la identidad, no crea conexiones sólidas entre los miembros de la junta y los ejecutivos de seguridad. Encuentre formas de facilitar esta relación.
En nuestra investigación, hemos visto a miembros de la junta ponerse en contacto con los CISO entre las reuniones de la junta para hablar sobre titulares de ciberseguridad, compartir los incidentes personales que podrían ocurrir y simplemente para conocerse mejor. De esa manera, cuando hay una necesidad urgente de que la junta intervenga sobre una situación de ciberseguridad, la relación ya existe y los debates son más relevantes y transparentes. Un ciberincidente no es el momento de construir el puente; debería ocurrir mucho antes de que tengan lugar las conversaciones difíciles.
La formación de la junta directiva para cumplir con los requisitos de la SEC puede impartirse de forma orgánica si tanto la junta como los ejecutivos de operaciones modifican ligeramente su enfoque. Pensar en términos de resiliencia en lugar de protección, equilibrar los riesgos empresariales y técnicos, hablar de la ciberseguridad en términos de exposición financiera y aumentar la frecuencia del debate sobre el panorama de la ciberseguridad al que se enfrenta la organización ayudará a los directores de los consejos de administración a prepararse y cumplir con la Es probable que lleguen las normas de la SEC. Y eso contribuirá en gran medida a aumentar la resiliencia organizacional.
_
- La Dra. Keri Pearlson es la Directora Ejecutiva del consorcio de investigación Ciberseguridad en el MIT Sloan (CAMS). Su investigación estudia cuestiones organizativas, estratégicas, de gestión y de liderazgo en materia de ciberseguridad. Su interés actual se centra en el papel del consejo de administración en la ciberseguridad.
- Chris Hetner fue asesor principal en materia de ciberseguridad de los presidentes de la SEC, White y Clayton, y en la actualidad es asesor principal de The Chertoff Group, asesor especial en materia de ciberriesgos de la NACD, y copresidente de Ciberseguridad y Privacidad del Consejo de Ideas del Centro para la Excelencia de los Consejos de Administración de la NASDAQ.
