Columna de temas
Nuestros columnistas expertos brindan opiniones y análisis sobre los temas importantes que enfrentan las empresas y los ejecutivos modernos.
Continuar esta serie subscribe-icon Suscribirse Compartir
Carolyn Gearson Beisel/MIT SMR |
El presidente de una gran empresa europea se acercó a mí mientras tomaba unas copas en un evento para ejecutivos y directores ejecutivos para hablar sobre cómo desarrollar la resiliencia de la seguridad en sus empresas. Empezamos a hablar sobre el riesgo de ciberseguridad, que es una preocupación grave para muchas juntas directivas. “Estoy en siete juntas directivas y todos estamos obligados a gestionar el riesgo cibernético, pero nadie tiene el presentimiento al respecto”, dijo. “¿Qué tengo que hacer?” Le preocupaba si podía juzgar intuitivamente la información relacionada con la seguridad.
Las juntas directivas de hoy enfrentan un panorama de amenazas en constante evolución y expectativas crecientes para la gobernanza de la ciberseguridad. En julio de 2023, la Comisión de Bolsa y Valores de EE. UU. exigirá a las empresas que cotizan en bolsa de EE. UU. que expliquen la supervisión de su junta directiva de los riesgos planteados por las amenazas a la seguridad cibernética y establezca un proceso para que las juntas directivas o los subcomités pertinentes sean informados de dichos riesgos. Se están llevando a cabo iniciativas regulatorias similares en Europa y la región de Asia y el Pacífico.
Manténgase informado y lidere con IA y datos
Obtenga información mensual sobre cómo la inteligencia artificial está impactando su organización y lo que significa para su empresa y sus clientes.
Por favor, introduce una dirección de correo electrónico válida
Gracias por registrarte
política de privacidad
Sin embargo, cumplir con estas expectativas y requisitos regulatorios es extremadamente difícil para muchos directores. Según un estudio del Wall Street Journal, el 98% de los directores de empresas no tienen la experiencia en ciberseguridad que tiene el presidente mencionado anteriormente. Esto es sorprendente, teniendo en cuenta que los directores son responsables de utilizar su propia experiencia para mirar detrás de las buenas noticias y descubrir qué está pasando realmente en la empresa. Sin experiencia en seguridad, puede resultar difícil ver a través de las fachadas ocultas en materiales cuidadosamente seleccionados y presentados a la junta.
La solución intuitiva (y más rápida) a este problema es tener un director de seguridad de la información (CISO) actual o anterior en la junta directiva. Según un estudio de Heidrick & Struggles, el porcentaje de CISO en los consejos de administración de las empresas se duplicó con creces en tan solo un año, del 14% en 2022 al 30% en 2023.
A primera vista, esto parece beneficioso para todos. Las juntas directivas desarrollan habilidades en áreas importantes y muchos CISO consideran que unirse a la junta directiva de una empresa es un paso profesional lógico y gratificante. Tener un CISO en la junta directiva puede integrar mejor la ciberseguridad en las discusiones comerciales del más alto nivel. Tener más CISO en los consejos es una buena noticia, ¿verdad?
CISO en la junta directiva: dos cuestiones a considerar
Contratar CISO para las juntas directivas únicamente por su experiencia en ciberseguridad es un error por dos razones principales. Primero, se supone que la junta debe actuar colectivamente. A diferencia de los equipos directivos, que dependen de la responsabilidad individual, lo ideal es que las juntas directivas actúen como una sola unidad, generando consenso sobre cuestiones como la estrategia, el riesgo y la gobernanza.
La junta toma decisiones colectivas y cada miembro es colectivamente responsable. Los miembros de la junta no deben actuar de forma aislada y cada miembro debe tener las habilidades para contribuir ampliamente al trabajo de la junta. Contratar a un CISO únicamente para garantizar que todos los demás tengan un experto en ciberseguridad al que recurrir cuando surjan riesgos de ciberseguridad va en contra de la idea fundamental de que la junta debe funcionar como un colectivo.
Sería un error contratar a un CISO para su junta directiva únicamente por su experiencia en ciberseguridad.
A continuación, considere las áreas de especialización del CISO. A menudo es tecnología o seguridad. Para hacer una contribución significativa a la junta, los directores deben tener conocimientos en una variedad de áreas, incluida la planificación estratégica, la experiencia financiera, los factores geopolíticos, las cuestiones ambientales y la responsabilidad fiduciaria. Los riesgos de ciberseguridad pueden aparecer en la agenda solo durante unos minutos en una reunión de directorio que dura varios días. El CISO también debe conocer todas las demás áreas que conducen al éxito de la junta directiva.
Cuatro formas de aumentar la experiencia en ciberseguridad de su junta directiva
En lugar de contratar a un CISO y delegar la comprensión de los riesgos de ciberseguridad a un solo miembro de la junta, las juntas deben aumentar su conocimiento y experiencia colectivos. Esto no significa que cada director deba aumentar sus conocimientos de una vez. Algunos directores individuales tienden a participar más activamente en la ciberseguridad, en cuyo caso pueden ayudar a liderar y dirigir la conversación. Sin embargo, es importante no convertirse en el experto al que todos delegan la comprensión y la toma de decisiones cuando la ciberseguridad aparece en la agenda de la junta.
Si bien muchas juntas han comenzado a abordar los riesgos de ciberseguridad, pocas están adoptando un enfoque integral para aumentar la experiencia de toda la junta a través de la capacitación. Aquí hay cuatro estrategias que incorporo en mi trabajo con las juntas directivas para mejorar sus capacidades de ciberseguridad.
1. Tiempo de calidad. Los directores individuales pueden utilizar recursos internos para mejorar sus conocimientos de ciberseguridad. Los presidentes y directores pueden solicitar tiempo para hablar individualmente con el CISO de la organización sin que nadie más esté presente.
El presidente puede hacer preguntas como:
¿Cuál de sus solicitudes de presupuesto más recientes no fue aprobada? ¿Cuál es el mayor problema de ciberseguridad desde una perspectiva empresarial? ¿Cuándo fue la última vez que probó un plan para responder a un ciberataque grave? ¿Cuándo? ¿resiliencia?
El objetivo de esta reunión es buscar información que no llega a la junta. Los miembros también pueden solicitar más información sobre los riesgos de ciberseguridad para complementar las breves diapositivas de resumen que normalmente se presentan en las reuniones de la junta directiva.
Muchos directores forman parte de las juntas directivas de varias empresas, pero no hay dos organizaciones exactamente iguales. Al mirar dentro de una empresa a la vez, los directores pueden aprender más sobre el estado actual de las cosas: las amenazas de ciberseguridad más graves de la empresa, los riesgos y sus impactos potenciales, y los desafíos de ciberseguridad más apremiantes. Al dedicar suficiente tiempo a la ciberseguridad de forma individual, los directores obtendrán conocimientos específicos de la organización y podrán contribuir al debate de una manera más significativa.
2. Cursos educativos. Los directores individuales pueden tomar cursos de educación ejecutiva sobre riesgos de ciberseguridad ofrecidos por escuelas de negocios, como el Programa de Ciberseguridad para Líderes Empresariales de la Universidad de Oxford. Estos cursos le enseñarán los fundamentos del riesgo de ciberseguridad, así como los nuevos desarrollos, tendencias y riesgos en el mundo regulatorio y tecnológico en áreas como la IA y la computación cuántica. Dichos cursos también exponen a los directores a estudios de casos y mejores prácticas de otras empresas e industrias con respecto a la gestión y los controles de riesgos de ciberseguridad. Muchos programas se llevan a cabo en línea y se basan en el aprendizaje asincrónico, lo que brinda a los participantes más flexibilidad para abordar el material.
He visto juntas que ofrecen programas en línea en áreas como la sostenibilidad. Algunos incluso requieren participación. Las empresas también deberían priorizar la ciberseguridad dada su naturaleza estratégica.
3. Foro de Ciberaprendizaje. Algunas empresas organizan periódicamente foros de ciberaprendizaje para mejorar la experiencia general de todos los miembros de la junta directiva (y sus equipos directivos). En mi experiencia, esta es una táctica poco común pero valiosa.
Estos foros trimestrales o semestrales se llevan a cabo independientemente de cualquier proceso de gobernanza formal. El director ejecutivo preside el foro, invita a toda la junta directiva y al equipo ejecutivo y trabaja en estrecha colaboración con los equipos de TI y ciberseguridad en la agenda. El propósito del foro no es responsabilizar a nadie, sino crear un ambiente seguro para aprender unos de otros e intercambiar ideas.
Son principalmente los colegas internos quienes dirigen los debates y comparten información. En lugar de mirar las opciones de otras empresas, se pide a los directores que miren hacia adentro y desarrollen una comprensión colectiva de los desafíos y soluciones comunes.
Los foros de aprendizaje brindan un entorno sin confrontaciones ni confrontaciones entre la gerencia y la junta, lo que permite a los miembros de la junta ir más allá de la información presentada en las reuniones formales de la junta para comprender el nivel real de resiliencia organizacional.
4. Sesiones de mesa personalizadas. La gestión de los riesgos de ciberseguridad a menudo se delega en subcomités como los de auditoría, riesgos y tecnología. La mayor parte del trabajo de gobernanza se lleva a cabo aquí. Pero también es importante que toda la junta directiva dedique colectivamente un tiempo significativo a los riesgos de ciberseguridad.
Las sesiones especiales de la junta que se llevan a cabo después de las reuniones trimestrales de la junta son una de las formas más efectivas en que las juntas pueden aumentar sus conocimientos sobre ciberseguridad.
Las sesiones especiales de la junta que se llevan a cabo después de las reuniones trimestrales de la junta son una de las formas más efectivas en que las juntas pueden aumentar sus conocimientos sobre ciberseguridad.
Incluso me he encontrado con juntas directivas que celebran reuniones especiales una vez al año solo para centrarse en los riesgos de ciberseguridad. Algunas juntas trabajan con asesores externos para planificar y gestionar sus reuniones. Esto crea una oportunidad para traer expertos en la materia para discutir aspectos específicos de la ciberseguridad. Siempre animo a las juntas directivas a invitar a otros ejecutivos que hayan sufrido ataques, incluso de otras industrias, a contar sus historias y compartir las lecciones aprendidas. También recomendamos realizar entrevistas preparatorias con cada miembro de la junta directiva con anticipación para personalizar la reunión según el nivel de experiencia en ciberseguridad de la empresa y la junta directiva. Es necesario que más organizaciones conviertan esto en un hábito. Por lo que he visto en mi trabajo, esta práctica sólo ocurre en los foros más maduros.
Las sesiones individuales son una excelente manera de evitar la complacencia. Los directores pueden aprender de los errores de otros directores y descubrir áreas donde los procesos de gobernanza pueden hacer que la organización sea menos resistente a los ciberataques. Se deben realizar un seguimiento de las sesiones individuales para garantizar que mejore el conocimiento de cada director.
Al adoptar un enfoque integral para aumentar la experiencia en ciberseguridad de los miembros de la junta directiva, las juntas pueden adelantarse a los atacantes y desarrollar de manera proactiva la resiliencia cibernética. Al incorporar los cuatro elementos de este enfoque, las juntas directivas pueden sentirse cómodas al abordar cualquier discusión sobre riesgos de ciberseguridad.
Columna de temas
Nuestros columnistas expertos brindan opiniones y análisis sobre los temas importantes que enfrentan las empresas y los ejecutivos modernos.
Otros artículos de esta serie Sobre el autor
Manuel Hepfer es jefe de conocimientos e ideas de la empresa de ciberseguridad Istari e investigador en la Said Business School de la Universidad de Oxford.
Fuente: https://sloanreview.mit.edu/article/one-ciso-cant-fill-your-boards-cybersecurity-gaps/