por Lucia Milică
Una encuesta de 600 directores sugiere que una mayor conciencia del riesgo cibernético no es suficiente para impulsar una mejor preparación.
• • •
Las juntas directivas que tienen dificultades para supervisar la ciberseguridad crean un problema de seguridad para sus organizaciones. A pesar de que las juntas dicen que la ciberseguridad es una prioridad, les queda un largo camino por recorrer para ayudar a sus organizaciones a ser resilientes ante los ciberataques. Y al no centrarse en la resiliencia, los consejos de administración fallan a sus empresas.
Encuestamos a 600 miembros de la junta sobre sus actitudes y actividades en torno a la ciberseguridad. Nuestras investigaciones muestran que, a pesar de las inversiones de tiempo y dinero, la mayoría de los directores (el 65%) siguen creyendo que sus organizaciones corren el riesgo de sufrir un ciberataque importante en los próximos 12 meses y casi la mitad cree que no están preparados para hacer frente a un ataque dirigido. Lamentablemente, esta creciente conciencia sobre el riesgo cibernético no impulsa una mejor preparación. En este artículo detallamos varias formas en las que las empresas pueden empezar a desarrollar una mejor conciencia sobre la ciberseguridad.
Faltan interacciones de la junta con el CISO
Solo el 69% de los miembros de la junta que respondieron están de acuerdo con sus directores de seguridad de la información (CISO). Menos de la mitad (el 47%) de los miembros forman parte de juntas directivas que interactúan con sus CISO de forma habitual, y casi un tercio de ellos solo ven a sus CISO en las presentaciones de la junta. Esto significa que los directores y los líderes de seguridad no pasan ni mucho tiempo juntos como para mantener un diálogo significativo sobre las prioridades y estrategias de ciberseguridad. Además, nuestra investigación reveló que, si bien el 65% de los miembros del consejo piensan que su organización corre el riesgo de sufrir un ciberataque importante, solo el 48% de los CISO comparten esa opinión. Este vacío de comunicación y la desalineación entre la junta directiva y el CISO dificultan el progreso en la ciberseguridad.
Nuestros hallazgos sugieren que la desconexión entre los CISO y la junta directiva se ve exacerbada por su falta de familiaridad entre sí a nivel personal (no pasan suficiente tiempo juntos como para conocerse y conocer sus actitudes y prioridades de una manera productiva). También contribuye a esta desconexión la dificultad del CISO para traducir la jerga técnica al lenguaje empresarial, como el riesgo, la reputación y la resiliencia.
Para forjar asociaciones estratégicas con los CISO, la participación entre los directores y los CISO entre las reuniones del consejo permitiría a los directores hacer mejores preguntas y entender las respuestas que reciben.
Las juntas se centran en la protección cuando tienen que centrarse en la resiliencia
A pesar del alto riesgo percibido, nuestra encuesta reveló que el 76% de los miembros del consejo creen haber realizado las inversiones adecuadas en ciberprotección. Además, el 87% espera que sus presupuestos de ciberseguridad aumenten en los próximos 12 meses.
Sin embargo, es posible que sus inversiones no estén en las áreas correctas. En una reunión típica del consejo de administración, las presentaciones sobre ciberseguridad suelen tratar las amenazas y las acciones o tecnologías que la empresa implementa para protegerse contra ellas. Por ejemplo, en muchas reuniones del consejo de administración, el tema principal es la frecuencia con la que la empresa realiza una prueba de suplantación de identidad y los resultados estadísticos. Para nosotros, esa es una perspectiva equivocada para la supervisión de la junta. Sabemos que no podemos estar completamente protegidos, sin importar cuánto dinero invirtamos en tecnologías o programas para detener los ciberataques. Si bien gastar recursos para proteger nuestros activos es fundamental, limitar las conversaciones a la protección nos prepara para un desastre.
En cambio, la conversación tiene que centrarse en la resiliencia. Debemos suponer, a efectos de planificación, que sufriremos algún tipo de ciberataque y prepararemos a nuestras organizaciones para responder y recuperarse con un mínimo de daños, costes y un impacto en la reputación. Por ejemplo, en lugar de entrar en detalles en una reunión de la junta sobre la forma en que nuestra organización está configurada para responder a un incidente, debemos centrarnos en cuál puede ser el mayor riesgo y en cómo estamos preparados para recuperarnos rápidamente de los daños en caso de que se produzca esa situación.
Para cambiar su enfoque hacia la resiliencia como objetivo principal de la ciberseguridad, los directores podrían pedir a sus líderes operativos que creen una visión de cómo la empresa responderá y se recuperará cuando se produzca un ataque. Minimizar la posibilidad de un ciberataque exitoso en primer lugar solo debería ser el objetivo secundario.
Las juntas ven la ciberseguridad como un tema técnico, pero se ha convertido en un imperativo organizativo y estratégico
Solo el 67% de los miembros de la junta cree que el error humano es su mayor cibervulnerabilidad, aunque las conclusiones del Foro Económico Mundial indican que el error humano representa el 95% de incidentes de ciberseguridad. Esto podría ser un indicador de que algunos consejos no ven el riesgo organizativo al que se enfrentan. Además, la mitad de los participantes de la encuesta son los que más valoran la experiencia en ciberseguridad de los CISO, seguidos de los conocimientos técnicos (44%) y la gestión de riesgos (38%). Esto sugiere que, aunque los temas de ciberseguridad hayan figurado en la agenda, la junta sigue considerándolos cuestiones técnicas.
Cuando las juntas directivas ven la ciberseguridad solo como un tema técnico, pasa a ser un tema demasiado operativo como para prestarle atención en sus reuniones. El tiempo es limitado en las reuniones de la junta, lo que dificulta cubrir todos los matices necesarios para una supervisión adecuada. Los directores pueden evitar hacer preguntas difíciles porque sienten que no conocen lo suficiente los conceptos técnicos como para articular correctamente la pregunta o incluso para entender la respuesta. Ver la ciberseguridad como un problema organizativo hace que el debate pase de ser un desafío técnico a uno de gestión. Cuando la ciberseguridad se considera un imperativo estratégico organizacional, pasa a ser relevante para el debate a nivel de junta.
Las juntas directivas deberían hacer preguntas como: «¿Cuál es el riesgo técnico para nuestra empresa derivados de los posibles incidentes de ciberseguridad?» «¿Qué estamos haciendo para atenuar los daños que se deriven de la realización de ese riesgo?» «¿Cuál es el riesgo organizativo que representan los posibles ciberincidentes y qué estamos haciendo para recuperarnos rápidamente de las consecuencias?» Y: «¿Cuál es el riesgo de la cadena de suministro derivados de los posibles incidentes de ciberseguridad y qué estamos haciendo al respecto para no perder ni un día de producción?»
La composición de la mayoría de los consejos actuales crea una vulnerabilidad adicional cuando podría crear una supervisión más sólida
Muchos consejos que estudiamos están compuestos por ejecutivos con mucha experiencia, jubilados o no, que tienen una amplia experiencia en operaciones, finanzas, ventas y sus sectores. Pero pocos tienen conocimientos o experiencia en ciberseguridad. En 2022, la SEC propuso recomendaciones más explícitas sobre la gestión de los riesgos de ciberseguridad, la gobernanza y la divulgación para las empresas públicas, y se espera que estas propuestas se conviertan en requisitos. Eso significa que las juntas directivas deben tener una supervisión más clara del riesgo de ciberseguridad e incluir experiencia explícita en ciberseguridad en la junta.
Muchos exejecutivos fueron líderes antes del entorno de ciberseguridad actual y es posible que no aporten su experiencia, ni siquiera un enfoque para adquirirla, a sus consejos de administración. No es que sean ejecutivos inapropiados para ser directores sin esa experiencia, pero el consejo debe desarrollar esta experiencia en su conjunto. Los directores deben aportar algo más que experiencia técnica a la sala de juntas. También deben entender el medio ambiente, las estructuras financieras, las compensaciones y la cartera de riesgos empresariales. Encontrar nuevos miembros de la junta que aporten la combinación adecuada de experiencia en ciberseguridad y perspicacia empresarial es un desafío.
Para incorporar la experiencia en ciberseguridad a la sala de juntas, puede que sea necesario cambiar la composición de la junta. Es posible que los miembros de la junta necesiten adquirir experiencia en ciberseguridad mediante conversaciones frecuentes sobre los programas de riesgo, formación y desarrollo generados por la ciberseguridad, y añadir colegas con una trayectoria empresarial y profesional radicalmente diferente a la de los miembros actuales de la junta.
Si no demuestra que la ciberseguridad es una prioridad para la junta, se envía un mensaje no deseado
Nuestra investigación reveló que casi una cuarta parte de las salas de juntas no ven la ciberseguridad como una prioridad y muchas ni siquiera discuten el tema con regularidad. Algunos consejos solo tienen una presentación de actualizaciones de ciberseguridad al año y esa presentación normalmente se centra en la protección de la organización. Eso no es adecuado.
Hacer de la ciberseguridad una prioridad para la junta es un compromiso, no solo una actualización anual. Significa hablar de ello en cada reunión de la junta, ponerse al día entre reuniones, hacer preguntas ajenas a las que se presentan y tener un interés personal (como estar seguros ellos mismos, hacer preguntas cibernéticas y/o compartir historias, convertir en héroes a quienes muestran los comportamientos que la junta quiere ver, etc.).
Por ejemplo, ¿qué mensaje se enviaría a la dirección ejecutiva de la organización si, en cada reunión del consejo, los miembros reconocieran a un «héroe» ejemplar que había hecho algo personalmente para aumentar la resiliencia y la seguridad de la empresa? Por otro lado, si la junta no mejora su juego al mostrarles lo importante que es la ciberseguridad para ellos, intencionalmente o no, están comunicando que la ciberseguridad no es una prioridad.
Las acciones personales de los directores envían mensajes a los altos directivos. Al hacer de la ciberseguridad una prioridad personal mediante acciones e inversiones de tiempo y atención, los directores demuestran lo importante que es.
Las juntas saben que deben hacer algo diferente. Las recomendaciones de la SEC codificarían ese conocimiento. Los titulares destacan cada vez más las consecuencias de las malas prácticas de ciberseguridad. Los miembros de la junta con experiencia en ciberseguridad están intentando llamar la atención de sus compañeros. Y los miembros de la junta quieren supervisar, a pesar de que no tienen las preguntas correctas que hacer. Los consejos de administración deben analizar los riesgos inducidos por la ciberseguridad de su organización y evaluar los planes para gestionarlos. Con las conversaciones adecuadas sobre cómo mantener la resiliencia de la empresa, pueden dar el siguiente paso para garantizar una supervisión adecuada de la ciberseguridad.
_