Un CISO no puede cerrar la brecha de ciberseguridad de la junta directiva


Columna de temas

Nuestros columnistas expertos brindan opiniones y análisis sobre los temas importantes que enfrentan las empresas y los ejecutivos modernos.

Continuar esta serie subscribe-icon Suscribirse Compartir

Carolyn Gearson Beisel/MIT SMR |

El presidente de una gran empresa europea se acercó a mí mientras tomaba unas copas en un evento para ejecutivos y directores ejecutivos para hablar sobre cómo desarrollar la resiliencia de la seguridad en sus empresas. Empezamos a hablar sobre el riesgo de ciberseguridad, que es una preocupación grave para muchas juntas directivas. “Estoy en siete juntas directivas y todos estamos obligados a gestionar el riesgo cibernético, pero nadie tiene el presentimiento al respecto”, dijo. “¿Qué tengo que hacer?” Le preocupaba si podía juzgar intuitivamente la información relacionada con la seguridad.

Las juntas directivas de hoy enfrentan un panorama de amenazas en constante evolución y expectativas crecientes para la gobernanza de la ciberseguridad. En julio de 2023, la Comisión de Bolsa y Valores de EE. UU. exigirá a las empresas que cotizan en bolsa de EE. UU. que expliquen la supervisión de su junta directiva de los riesgos planteados por las amenazas a la seguridad cibernética y establezca un proceso para que las juntas directivas o los subcomités pertinentes sean informados de dichos riesgos. Se están llevando a cabo iniciativas regulatorias similares en Europa y la región de Asia y el Pacífico.

CISO en la junta directiva: dos cuestiones a considerar

Contratar CISO para las juntas directivas únicamente por su experiencia en ciberseguridad es un error por dos razones principales. Primero, se supone que la junta debe actuar colectivamente. A diferencia de los equipos directivos, que dependen de la responsabilidad individual, lo ideal es que las juntas directivas actúen como una sola unidad, generando consenso sobre cuestiones como la estrategia, el riesgo y la gobernanza.

La junta toma decisiones colectivas y cada miembro es colectivamente responsable. Los miembros de la junta no deben actuar de forma aislada y cada miembro debe tener las habilidades para contribuir ampliamente al trabajo de la junta. Contratar a un CISO únicamente para garantizar que todos los demás tengan un experto en ciberseguridad al que recurrir cuando surjan riesgos de ciberseguridad va en contra de la idea fundamental de que la junta debe funcionar como un colectivo.

Sería un error contratar a un CISO para su junta directiva únicamente por su experiencia en ciberseguridad.

A continuación, considere las áreas de especialización del CISO. A menudo es tecnología o seguridad. Para hacer una contribución significativa a la junta, los directores deben tener conocimientos en una variedad de áreas, incluida la planificación estratégica, la experiencia financiera, los factores geopolíticos, las cuestiones ambientales y la responsabilidad fiduciaria. Los riesgos de ciberseguridad pueden aparecer en la agenda solo durante unos minutos en una reunión de directorio que dura varios días. El CISO también debe conocer todas las demás áreas que conducen al éxito de la junta directiva.

Cuatro formas de aumentar la experiencia en ciberseguridad de su junta directiva

En lugar de contratar a un CISO y delegar la comprensión de los riesgos de ciberseguridad a un solo miembro de la junta, las juntas deben aumentar su conocimiento y experiencia colectivos. Esto no significa que cada director deba aumentar sus conocimientos de una vez. Algunos directores individuales tienden a participar más activamente en la ciberseguridad, en cuyo caso pueden ayudar a liderar y dirigir la conversación. Sin embargo, es importante no convertirse en el experto al que todos delegan la comprensión y la toma de decisiones cuando la ciberseguridad aparece en la agenda de la junta.

Si bien muchas juntas han comenzado a abordar los riesgos de ciberseguridad, pocas están adoptando un enfoque integral para aumentar la experiencia de toda la junta a través de la capacitación. Aquí hay cuatro estrategias que incorporo en mi trabajo con las juntas directivas para mejorar sus capacidades de ciberseguridad.

1. Tiempo de calidad. Los directores individuales pueden utilizar recursos internos para mejorar sus conocimientos de ciberseguridad. Los presidentes y directores pueden solicitar tiempo para hablar individualmente con el CISO de la organización sin que nadie más esté presente.

El presidente puede hacer preguntas como:

¿Cuál de sus solicitudes de presupuesto más recientes no fue aprobada? ¿Cuál es el mayor problema de ciberseguridad desde una perspectiva empresarial? ¿Cuándo fue la última vez que probó un plan para responder a un ciberataque grave? ¿Cuándo? ¿resiliencia?

El objetivo de esta reunión es buscar información que no llega a la junta. Los miembros también pueden solicitar más información sobre los riesgos de ciberseguridad para complementar las breves diapositivas de resumen que normalmente se presentan en las reuniones de la junta directiva.

Muchos directores forman parte de las juntas directivas de varias empresas, pero no hay dos organizaciones exactamente iguales. Al mirar dentro de una empresa a la vez, los directores pueden aprender más sobre el estado actual de las cosas: las amenazas de ciberseguridad más graves de la empresa, los riesgos y sus impactos potenciales, y los desafíos de ciberseguridad más apremiantes. Al dedicar suficiente tiempo a la ciberseguridad de forma individual, los directores obtendrán conocimientos específicos de la organización y podrán contribuir al debate de una manera más significativa.

2. Cursos educativos. Los directores individuales pueden tomar cursos de educación ejecutiva sobre riesgos de ciberseguridad ofrecidos por escuelas de negocios, como el Programa de Ciberseguridad para Líderes Empresariales de la Universidad de Oxford. Estos cursos le enseñarán los fundamentos del riesgo de ciberseguridad, así como los nuevos desarrollos, tendencias y riesgos en el mundo regulatorio y tecnológico en áreas como la IA y la computación cuántica. Dichos cursos también exponen a los directores a estudios de casos y mejores prácticas de otras empresas e industrias con respecto a la gestión y los controles de riesgos de ciberseguridad. Muchos programas se llevan a cabo en línea y se basan en el aprendizaje asincrónico, lo que brinda a los participantes más flexibilidad para abordar el material.

He visto juntas que ofrecen programas en línea en áreas como la sostenibilidad. Algunos incluso requieren participación. Las empresas también deberían priorizar la ciberseguridad dada su naturaleza estratégica.

3. Foro de Ciberaprendizaje. Algunas empresas organizan periódicamente foros de ciberaprendizaje para mejorar la experiencia general de todos los miembros de la junta directiva (y sus equipos directivos). En mi experiencia, esta es una táctica poco común pero valiosa.

Estos foros trimestrales o semestrales se llevan a cabo independientemente de cualquier proceso de gobernanza formal. El director ejecutivo preside el foro, invita a toda la junta directiva y al equipo ejecutivo y trabaja en estrecha colaboración con los equipos de TI y ciberseguridad en la agenda. El propósito del foro no es responsabilizar a nadie, sino crear un ambiente seguro para aprender unos de otros e intercambiar ideas.

Son principalmente los colegas internos quienes dirigen los debates y comparten información. En lugar de mirar las opciones de otras empresas, se pide a los directores que miren hacia adentro y desarrollen una comprensión colectiva de los desafíos y soluciones comunes.

Los foros de aprendizaje brindan un entorno sin confrontaciones ni confrontaciones entre la gerencia y la junta, lo que permite a los miembros de la junta ir más allá de la información presentada en las reuniones formales de la junta para comprender el nivel real de resiliencia organizacional.

4. Sesiones de mesa personalizadas. La gestión de los riesgos de ciberseguridad a menudo se delega en subcomités como los de auditoría, riesgos y tecnología. La mayor parte del trabajo de gobernanza se lleva a cabo aquí. Pero también es importante que toda la junta directiva dedique colectivamente un tiempo significativo a los riesgos de ciberseguridad.

Las sesiones especiales de la junta que se llevan a cabo después de las reuniones trimestrales de la junta son una de las formas más efectivas en que las juntas pueden aumentar sus conocimientos sobre ciberseguridad.

Las sesiones especiales de la junta que se llevan a cabo después de las reuniones trimestrales de la junta son una de las formas más efectivas en que las juntas pueden aumentar sus conocimientos sobre ciberseguridad.

Incluso me he encontrado con juntas directivas que celebran reuniones especiales una vez al año solo para centrarse en los riesgos de ciberseguridad. Algunas juntas trabajan con asesores externos para planificar y gestionar sus reuniones. Esto crea una oportunidad para traer expertos en la materia para discutir aspectos específicos de la ciberseguridad. Siempre animo a las juntas directivas a invitar a otros ejecutivos que hayan sufrido ataques, incluso de otras industrias, a contar sus historias y compartir las lecciones aprendidas. También recomendamos realizar entrevistas preparatorias con cada miembro de la junta directiva con anticipación para personalizar la reunión según el nivel de experiencia en ciberseguridad de la empresa y la junta directiva. Es necesario que más organizaciones conviertan esto en un hábito. Por lo que he visto en mi trabajo, esta práctica sólo ocurre en los foros más maduros.

Las sesiones individuales son una excelente manera de evitar la complacencia. Los directores pueden aprender de los errores de otros directores y descubrir áreas donde los procesos de gobernanza pueden hacer que la organización sea menos resistente a los ciberataques. Se deben realizar un seguimiento de las sesiones individuales para garantizar que mejore el conocimiento de cada director.

Al adoptar un enfoque integral para aumentar la experiencia en ciberseguridad de los miembros de la junta directiva, las juntas pueden adelantarse a los atacantes y desarrollar de manera proactiva la resiliencia cibernética. Al incorporar los cuatro elementos de este enfoque, las juntas directivas pueden sentirse cómodas al abordar cualquier discusión sobre riesgos de ciberseguridad.

Columna de temas

Nuestros columnistas expertos brindan opiniones y análisis sobre los temas importantes que enfrentan las empresas y los ejecutivos modernos.

Otros artículos de esta serie Sobre el autor

Manuel Hepfer es jefe de conocimientos e ideas de la empresa de ciberseguridad Istari e investigador en la Said Business School de la Universidad de Oxford.



Fuente: https://sloanreview.mit.edu/article/one-ciso-cant-fill-your-boards-cybersecurity-gaps/