Liderazgo Capital Humano Actualidad

4 formas de educar a la junta directiva sobre ciberseguridad

Incorporar un director de seguridad de la información a una junta directiva es una medida popular, pero no es suficiente para mejorar la resiliencia cibernética. Aprende a aumentar la perspicacia en materia de seguridad de toda una junta directiva.

Manuel Hepfer 06 Sep 2024

Según una investigación de The Wall Street Journal , el 98 por ciento de los directores de las empresas no tienen experiencia en ciberseguridad. Esto es sorprendente. Sin experiencia en seguridad, les resulta difícil ver los verdaderos peligros que hay en la red.

La solución intuitiva (y más rápida) a este problema es incorporar a un director de seguridad de la información (CISO) actual o anterior al directorio. En consecuencia, la proporción de CISO que forman parte de los directorios corporativos aumentó más del doble en tan solo un año, del 14 por ciento en 2022 al 30 por ciento en 2023, según una encuesta de Heidrick & Struggles.

Publicidad
Publicidad

A primera vista, esto parece ser beneficioso para todos. Los directorios mejoran sus habilidades en un área vital y muchos CISO consideran que sumarse a los directorios corporativos es un paso lógico y fructífero en su carrera.

Un CISO en el directorio puede integrar mejor la ciberseguridad en las discusiones empresariales al más alto nivel. Que haya más CISO en los directorios es una buena noticia, ¿no?

La importancia de diseñar un producto desde cero tomando en cuenta la ciberseguridad

Los CISO en los consejos directivos: dos cuestiones a tener en cuenta

Contratar a directores de seguridad de la información para que formen parte de la junta directiva solo por su experiencia en ciberseguridad es un error.

En primer lugar, se supone que las juntas deben actuar como un colectivo. A diferencia de los equipos de gestión, que dependen de la responsabilidad individual, lo ideal es que las juntas actúen como una sola unidad.

Los directorios toman decisiones de manera colectiva y cada miembro comparte la responsabilidad colectiva. Ningún miembro del directorio debe actuar de manera independiente. Contratar a un CISO solo para tener un experto en ciberseguridad al que todos puedan recurrir cuando aparezca un riesgo en la agenda va en contra de la idea fundamental de que el directorio funcione como un colectivo.

En segundo lugar, hay que tener en cuenta el área de especialización principal del CISO, que suele ser la tecnología o la seguridad. Para contribuir de forma significativa a la junta directiva, los directores deben tener conocimientos de una amplia gama de áreas la experiencia financiera, los factores geopolíticos, etc.

El riesgo de ciberseguridad puede aparecer en la agenda solo unos minutos durante las reuniones de la junta directiva, que pueden durar varios días. Los CISO también deben tener conocimientos de todas las demás áreas que contribuyen al éxito de los miembros de la junta.

4 formas de aumentar la experiencia de la junta directiva en materia de ciberseguridad

En lugar de delegar la comprensión de los riesgos de la ciberseguridad al CISO, las juntas directivas deberían aumentar su propio conocimiento y experiencia colectiva. 

Muchas juntas directivas han comenzado a hacer algo en relación con los riesgos de ciberseguridad, pero muy pocas adoptan un enfoque integral para mejorar la experiencia de toda la junta mediante capacitación. A continuación, se presentan cuatro estrategias que he incorporado a mi trabajo con las juntas directivas para mejorar sus capacidades en materia de ciberseguridad .

1. Tiempo de calidad

Los directores individuales pueden utilizar recursos internos para mejorar su nivel de conocimientos sobre ciberseguridad. Los presidentes y miembros de la junta pueden solicitar tiempo individual con el CISO de la organización, sin la presencia de nadie más.

El presidente puede entonces hacer preguntas, por ejemplo:

  • ¿Qué elementos de la última solicitud de presupuesto no fueron aprobados?
  • ¿Cuáles son los mayores problemas de ciberseguridad desde una perspectiva empresarial?
  • ¿Cuándo fue la última vez que pusimos a prueba nuestros planes para responder a un ciberataque grave?
  • ¿Qué puede hacer la junta directiva para impulsar la resiliencia cibernética de nuestra empresa?

El objetivo de esta reunión es tratar de descubrir qué información no llega a la junta directiva. Además, los miembros pueden solicitar más detalles sobre los riesgos de ciberseguridad para complementar las diapositivas que suelen presentarse en las reuniones de la junta directiva.

2. Cursos educativos

Los miembros individuales de la junta directiva pueden tomar cursos de educación ejecutiva sobre riesgos de ciberseguridad en escuelas de negocios, como el programa de ciberseguridad para líderes empresariales de Oxford.

Estos cursos cubren los fundamentos del riesgo de ciberseguridad, así como los nuevos desarrollos, tendencias y riesgos. Dichos cursos también exponen a los miembros de la junta directiva a estudios de casos y mejores prácticas de otras empresas e industrias sobre la gestión y el gobierno del riesgo de ciberseguridad.

Muchos programas se llevan a cabo en línea y se basan en el aprendizaje asincrónico, lo que brinda a los participantes más flexibilidad para trabajar con el material.

He visto que las juntas directivas ofrecen programas en línea en áreas como la sostenibilidad, y algunas incluso han hecho obligatoria la asistencia. Las empresas también deberían priorizar la ciberseguridad, dada su naturaleza estratégica.

5 razones por las que una junta directiva necesita saber sobre ciberseguridad

3. Foros de aprendizaje cibernético

Para elevar la experiencia colectiva de todos los miembros de la junta directiva, algunas empresas han creado foros de aprendizaje cibernético periódicos. En mi experiencia, se trata de una táctica inusual pero valiosa.

Estos foros trimestrales o semestrales se llevan a cabo fuera de los procesos de gobernanza formal. El CEO preside el foro, invita a la junta directiva en pleno y al equipo de gestión, y trabaja en estrecha colaboración con los equipos de TI y ciberseguridad en la agenda.

El propósito del foro no es exigirle cuentas a nadie, sino crear un entorno seguro en el que aprender unos de otros e intercambiar ideas.

4. Sesiones de directorio personalizadas

La gestión del riesgo de ciberseguridad suele delegarse en un subcomité, como el de auditoría, riesgo o tecnología. Allí es donde se lleva a cabo la mayor parte del trabajo de gobernanza.

Pero también es importante que el directorio en pleno dedique una cantidad considerable de tiempo al riesgo como colectivo.

Una sesión de directorio personalizada celebrada después de una reunión de directorio trimestral es una de las cosas más efectivas que un directorio puede hacer para mejorar su conocimiento.

Las sesiones personalizadas son una excelente manera de evitar la complacencia. Los miembros de la junta directiva pueden aprender de los errores que otros han cometido y descubrir áreas en las que los procesos de gobernanza pueden debilitar la resiliencia de su organización.


SOBRE EL AUTOR

Manuel Hepfer es el responsable de conocimientos e información de la empresa de ciberseguridad Istari y afiliado de investigación en la Saïd Business School de la Universidad de Oxford.