En una era en la que los directores de seguridad de la información (CISO) pueden enfrentar cargos de fraude después de un incidente de seguridad, es más importante que nunca que los CISO tengan buenas relaciones con los ejecutivos de nivel C y la junta directiva. Una relación sólida con el director ejecutivo, el director financiero y los miembros de la junta directiva puede ayudar al CISO a impulsar fuertes esfuerzos de ciberseguridad dentro de la organización, evitando potencialmente la responsabilidad si algo sale mal.
Jason Lee, CISO del proveedor de ciberseguridad y análisis de datos Splunk, dijo que las nuevas reglas de la Comisión de Bolsa y Valores de EE. UU. (SEC) sobre informes de violaciones materiales han hecho que las conversaciones sobre ciberseguridad a nivel ejecutivo y de la junta sean cosa del pasado. Dice que ha cambiado. un año. Según el Informe CISO de la empresa, más del 90% de los CISO asisten actualmente a las reuniones de la junta directiva con regularidad.
Los directores de juntas directivas, directores ejecutivos y otros ejecutivos también están más interesados en conocer el programa de seguridad general de una organización que en simplemente marcar casillas de cumplimiento. Sus preocupaciones incluyen aspectos como el retorno de la inversión (ROI) de las compras de ciberseguridad y el nivel de seguro cibernético que necesita una empresa, añade Lee.
Esta nueva era de interacciones regulares requiere nuevos conjuntos de habilidades, dice Lane Sullivan, CISO de Magellan Health. En lugar de centrarse en las tecnologías y prácticas que permiten una ciberseguridad sólida, los CISO también tienen las habilidades interpersonales necesarias para explicar las necesidades de seguridad de una organización a personas con experiencia técnica limitada.
“Para los CISO, las herramientas en su caja de herramientas cambian”, dice Sullivan. “No sólo hay que ser un buen narrador, sino que también hay que poder comunicarse con una variedad de audiencias. También hay que tener conversaciones técnicas con personas del departamento de TI”.
CISO narrativo
Sullivan dijo que las conversaciones de la junta directiva se han alejado del cumplimiento y se han centrado en la resiliencia y el impacto de las amenazas cibernéticas, y los directores y ejecutivos parecen estar más centrados en el riesgo que antes.
Lee agrega que es importante que los CISO sean narradores, ya que la presentación de diapositivas habitual que explica la última filtración de datos en las noticias puede no ser interesante para sus colegas. Los miembros de la junta preguntan cada vez más qué significa esta noticia para sus organizaciones, y los CISO se preguntan cada vez más qué significa esta noticia para sus organizaciones, incluido el potencial de riesgos importantes si se produce una infracción en una empresa que hace negocios con un proveedor. para explicar temas complejos con claridad.
“Mostrar el contexto empresarial, como el retorno de la inversión en seguridad, es algo realmente importante en lo que debemos centrarnos, pero los CISO no suelen dedicar mucho tiempo a presentaciones y narraciones”, afirma Lee. “El aspecto de las habilidades interpersonales es una de las áreas en las que tenemos que seguir invirtiendo”.
Las nuevas reglas de la SEC requieren que las juntas interactúen de manera proactiva con los CISO después de que ocurra una violación, dijo Lee, y los dos grupos deberán presentar documentos 8-K y 10 a la SEC para determinar si la violación fue material. Es necesario discutir cosas como qué información debe incluirse en el informe. Las juntas directivas deben colaborar más con los CISO en relación con las decisiones tomadas después de que se produce una infracción.
“La junta querrá saber: ‘¿Cómo determinamos la materialidad de esto?’ y ‘¿Vamos a compartir esto con los inversionistas?'”, dijo Lee.
Si bien las reglas de la SEC colocan a los CISO en objetivos legales, las nuevas regulaciones también conducen a una mejor comunicación entre los directores y los CISO, agrega Lee.
Formar una conexión directa
En los últimos años, muchas juntas corporativas han formado comités de ciberseguridad para aumentar la experiencia de algunos miembros de la junta. Estos comités permiten a los CISO pasar más tiempo cara a cara con los directores. En lugar de pasar 15 minutos con el comité de auditoría cada trimestre, el CISO ahora puede pasar 90 minutos con el comité de ciberseguridad.
“Estamos comenzando a profundizar nuestra experiencia en ciberseguridad al tener un ejecutivo dedicado y realizar sesiones especiales sobre ciberseguridad cada trimestre. [board] “Tenemos más expertos y más profundidad que hace unos años”, dijo Lee.
Si bien tener acceso directo a los miembros de la junta directiva es beneficioso para los CISO, tener una buena relación con el director ejecutivo, el director de información (CIO) u otros ejecutivos que defienden la ciberseguridad ante la junta directiva puede ser igualmente beneficioso, afirma Lee. La capacidad de un CISO para realizar con éxito su trabajo depende de la aceptación de la junta directiva y de la alta dirección, y la defensa de la ciberseguridad puede provenir de una variedad de voces.
La buena noticia para los CISO es que las organizaciones están elevando la posición de los CISO dentro de las estructuras corporativas. Según un informe de Splunk, el 47% de los CISO encuestados reportan directamente al CEO, sin pasar por la gestión jerárquica. Lee dijo que originalmente esperaba que el porcentaje fuera menor. Según el informe, el 40% de los CISO reportan al CIO (un enfoque más tradicional), otro 5% reporta al CFO y el 4% reporta al director de operaciones.
El nivel de comunicación entre el CISO y la junta directiva se correlaciona con la madurez en ciberseguridad de una organización, dijo Sullivan.
“Una conexión directa con un CISO puede involucrar a muchas personas diferentes y significar muchas cosas diferentes”, afirma Sullivan.
Fuente: https://www.darkreading.com/cyber-risk/transforming-cisos-into-storytellers
