Liderazgo Capital Humano Actualidad

5 razones por las que una junta directiva necesita saber sobre ciberseguridad

La mayoría de los directorios corporativos carecen de expertos con las habilidades adecuadas para supervisar el riesgo cibernético. Las nuevas regulaciones de la SEC hacen que corregir esa deficiencia sea más urgente.

Chon Abraham, Sasha Cohen O'Connell. Iria Giuffrida y Ronald R. Sims 25 Jun 2024

En un contexto de ciberataques persistentes, y alentados por nuevas regulaciones, las juntas corporativas están luchando por crear mejores capacidades para supervisar la gestión de riesgos de ciberseguridad.1 

Si bien esta es una buena noticia para un gobierno corporativo saludable, presenta desafíos inmediatos. Esto para las empresas que buscan identificar y reclutar nuevos directores con la combinación adecuada de habilidades, experiencia y contactos.

Publicidad
Publicidad

Dada la importancia del riesgo de ciberseguridad, hace tiempo que se debe prestar mayor atención a las habilidades y la composición de la junta directiva.

Los encuestados en la Encuesta Anual de Directores Corporativos de 2023 de PwC calificaron el riesgo de ciberseguridad en segundo lugar después de los riesgos estratégicos/disruptivos como un desafío importante para su junta directiva.

El 64 por ciento informó que había aumentado la cantidad de tiempo de las reuniones de la junta directiva dedicado al tema en los últimos 12 meses. Sin embargo, solo el 19 por ciento dijo que había agregado un nuevo miembro a la junta directiva con experiencia en ciberseguridad durante el año pasado.2

Los 5 tipos de ciberseguridad más importantes que existen y que debes de conocer

¿Qué riesgos corren las empresas cuyos directivos no saben sobre ciberseguridad?

Los directivos de empresas públicas que carecen de experiencia estratégica en ciberseguridad podrían ser más vulnerables a los ataques de los hackers. Esa exposición pronto será más evidente para los inversionistas y los clientes potenciales que realizan la debida diligencia.

En julio de 2023, la Comisión de Bolsa y Valores de Estados Unidos (SEC) adoptó nuevas reglas que exigen divulgaciones rápidas y completas sobre ciberseguridad. Comenzaron con los formularios 10-K presentados después del 15 de diciembre de 2023.3

Las nuevas reglas exigen divulgaciones sobre cómo se identifican y gestionan los riesgos de ciberseguridad. Además del papel de la dirección en la implementación de políticas y procedimientos de seguridad.

Ahora se exige a las empresas que describan la supervisión que realiza la junta de los riesgos derivados de las amenazas a la ciberseguridad y el nivel de experiencia de los directores.4

La nueva regla tiene como objetivo mejorar la conciencia de los inversionistas sobre las prácticas de gestión de riesgos y de los incidentes de ciberseguridad.

Los riesgos de ciberseguridad complejos y en constante evolución requieren la atención enfocada de al menos un director de la junta directiva con profundo conocimiento y experiencia en tecnología y negocios.

Por ejemplo, las decisiones de utilizar tecnologías emergentes como la Inteligencia Artificial (IA). Esto para obtener eficiencias operativas deben sopesar cuidadosamente el potencial de nuevos riesgos de seguridad.

Ejemplo: ¿Por qué un directivo debe saber de tecnología?

La experiencia de un director de seguridad de la información (CISO) de una gran organización nacional de salud deja claro cuánto puede ayudar un director de junta bien calificado a avanzar en la práctica cibernética de la junta.

Hablando con nosotros sobre la ex CISO de un competidor que se unió a la junta directiva de su empresa, dijo:

“Ella conoce la industria y ha visto cómo operan otros, y tiene una gran experiencia empresarial. Ella es un recurso increíble que encaja perfectamente”.

Elogió la capacidad del miembro de la junta para traducir conceptos difíciles para personas sin conocimientos técnicos, así como su disposición para hacerle a él, el CISO, preguntas muy específicas. “Lo que ella aporta es el conocimiento para comprender, traducir y estimular. Todo eso garantiza que la junta obtenga lo que necesita y yo no me quedo estancado en minucias”, concluyó.

Como muestra el ejemplo, un director de junta con profunda experiencia en ciberseguridad puede colaborar estrechamente con la alta dirección y los equipos de TI. Así puede proporcionar información valiosa para identificar vulnerabilidades, evaluar riesgos y desarrollar soluciones.

Los estrategas de ciberseguridad de la junta necesitan capacidades diversas

El problema es que, si bien muchas juntas directivas saben que necesitan contratar a un director con conocimientos de ciberseguridad, no saben muy bien qué implica el puesto ni qué experiencia se requiere.

A continuación, analizaremos las facetas clave del papel de un especialista en ciberseguridad en la junta directiva y las calificaciones que se deben buscar.

Estos conocimientos deberían ayudar a la junta directiva en su búsqueda de incorporar a alguien que tenga un impacto positivo en la resiliencia de la seguridad.

Un buen ciberestratega no sólo es técnicamente competente. Tienen una poderosa combinación de conocimientos técnicos y comprensión empresarial. Junto con destrezas de comunicación y habilidades de gestión de crisis.

Con base en nuestra investigación, hemos compilado un marco de cinco puntos de habilidades necesarias para reforzar de manera efectiva la competencia de la junta en supervisión cibernética.

Analizaremos cada uno de estos por separado. Para cada área de capacidad, hemos compilado una lista de calificaciones relevantes. Para utilizarlos como rúbrica de puntuación al evaluar candidatos, otorga dos puntos si un candidato está altamente calificado, uno punto si está calificado y ningún punto si carece de una calificación particular.

Los 8 mejores libros de ciberseguridad que debes leer como líder para proteger tu negocio

1. Experiencia técnica enriquecida por el contexto de la industria

La calificación más fundamental para un miembro experto de la junta es la comprensión de los detalles esenciales de las amenazas, vulnerabilidades y mejores prácticas técnicas para mejorar las defensas y la resiliencia en materia de ciberseguridad.

Ese conocimiento también les permite comprender cómo podría manifestarse el ataque en un entorno empresarial particular: qué quieren los atacantes y a qué apuntarán probablemente.

También deben tener una comprensión sofisticada de cómo compartir inteligencia sobre amenazas cibernéticas (CTI) a través de las fronteras organizacionales.

El ciberestratega comprende el valor que ofrece la CTI oportuna y que aplicar el principio “si ve algo, dilo” puede reducir los efectos dominó en la cadena de suministro de información, productos y servicios.

¿De qué trata la ciberseguridad?

La ciberseguridad no se trata solo de responder a amenazas inmediatas. También implica planificar con anticipación e implementar medidas preventivas guiadas por estándares y regulaciones de la industria, como las del Instituto Nacional de Estándares y Tecnología (NIST), la Organización Internacional de Normalización (ISO), la Centro para la Seguridad de Internet y la Agencia de Seguridad de Infraestructura y Ciberseguridad.5 

Dichos marcos y regulaciones ofrecen pautas para crear sistemas seguros, y la familiaridad con ellos es una parte importante de la competencia técnica en esta área. El ciberestratega también debe tener un conocimiento sólido de los estándares relevantes para la industria particular de la organización.

Evaluar a los candidatos por experiencia técnica que demuestre su capacidad para asesorar en decisiones estratégicas. Busca lo siguiente:

  • Puestos ocupados que requieren familiaridad con habilidades y herramientas fundamentales de ciberseguridad
  • Experiencia trabajando en estándares técnicos de ciberseguridad, políticas gubernamentales o grupos de trabajo asesores
  • Educación (como una licenciatura o un título avanzado en ciberseguridad, informática o sistemas de información)
  • Capacitación y certificación técnica acreditada, como Gerente certificado de seguridad de la información (CISM) o Profesional certificado en seguridad de sistemas de información (CISSP)

2. Perspicacia para los negocios, incluida la gestión de riesgos

Alinear los objetivos de ciberseguridad con objetivos comerciales más amplios requiere un pensamiento estratégico sobre la reducción de los riesgos para lograr esos objetivos.

Por ejemplo, el ciberestratega puede identificar y evaluar las perspectivas y los riesgos asociados con la integración de tecnología empresarial adquirida a través de fusiones y adquisiciones.

Como nos dijo el director ejecutivo de una empresa de tecnología:

“Necesitamos a alguien que entienda los negocios. … Tienen que ser capaces de traducir cuál es el riesgo operativo y financiero final para los miembros de la junta directiva que no son cibernéticos”.

El ciberestratega debe tener un conocimiento profundo de los objetivos comerciales estratégicos. Además debe ser capaz de articular cómo los activos de ciberseguridad pueden ayudar a lograr esos objetivos.

Es crucial tener la capacidad de comprender y evaluar el “radio de explosión” de posibles eventos cibernéticos.

Los conocimientos técnicos no lo son todo, también debe de ser un buen director o directora

Dado el relativo ascenso de los profesionales de la ciberseguridad en lo que respecta a los niveles ejecutivos y de alta dirección. Es posible que muchos candidatos carezcan de una experiencia empresarial más amplia. Sin embargo, pueden prepararse para pasar a la dirección a través de uno de los numerosos programas de capacitación específicos.

Evalúa la visión empresarial de los candidatos relacionada con la ciberseguridad buscando lo siguiente:

  • Comprensión demostrada de las leyes y regulaciones relacionadas con la privacidad de datos y la protección contra violaciones, a nivel nacional e internacional
  • Capacidad demostrada para gestionar inversiones y presupuestos en ciberseguridad
  • Capacitación y certificación en dirección, por el programa Accelerate de la Asociación Nacional de Directores Corporativos, por ejemplo

3. Comunicación efectiva entre los grupos de partes interesadas

Las habilidades de comunicación del ciberestratega son quizás las más esenciales para ayudar a la junta directiva a comprender la materialidad de los riesgos cibernéticos y sus posibles consecuencias financieras, legales y de reputación.

Como nos dijo un CISO y un miembro de la junta directiva, nadie en la junta entiende realmente lo que significa tener más de 200 vulnerabilidades sin parches. Pero sí entienden lo que significa tener una responsabilidad agregada de 400 millones de dólares si esas vulnerabilidades no se abordan.

El miembro experto de la junta debería poder brindar ese tipo de contexto, con la ayuda del director financiero y el abogado general.

Traducir los posibles riesgos y consecuencias

La comunicación impactante de un ciberestratega se extiende en ambas direcciones: hacia la junta directiva en nombre de los equipos técnicos y hacia el personal de ciberseguridad u otro personal técnico en nombre de la junta directiva.

En ese sentido, el ciberestratega debe capacitar al CIO, al CISO y a otros y generar confianza para que sean eficaces a la hora de explicar cuestiones relevantes de ciberseguridad.

Fomentar este tipo de comunicación ayuda a promover una cultura que le da al CISO confianza para acudir a la junta con solicitudes claras y proporcionar los detalles necesarios para respaldarlas.

Evalúa la capacidad de los candidatos para comunicarse con las partes interesadas tanto técnicas como comerciales considerando lo siguiente:

  • Grado de experiencia en la educación de líderes de alto nivel de todas las industrias y tipos de empresas sobre los riesgos de ciberseguridad
  • Experiencia en el uso de modelos como Análisis Factorial de Riesgo de Información para cuantificar el riesgo de ciberseguridad
  • Experiencia entrenando al personal de seguridad en comunicaciones de gestión

4. Una red sólida en la comunidad de la ciberseguridad

Es esencial que un especialista en ciberseguridad eficaz en la junta tenga fuertes vínculos con pares y partes interesadas clave en la investigación y el gobierno.

Mantener una red sólida es clave para poder analizar minuciosamente el entorno de amenazas en evolución y utilizar esos conocimientos para fundamentar decisiones comerciales estratégicas, porque mucha información útil es compartida por contactos de confianza.

“Debe tener una buena reputación en el ecosistema en cuanto a utilizar la información que obtiene y brindar buena información”, nos dijo un CISO y miembro veterano de la junta.

“Puedo acudir a mis colegas de otras empresas y preguntarles qué consideran que son las principales prioridades del negocio. Siempre estoy al tanto de las últimas novedades, de los chats de Google, blogs y grupos profesionales de inteligencia sobre amenazas, y tengo una buena relación con mi FBI local. Soy proactivo a la hora de obtener información sobre lo que podría ser una amenaza. Entonces puedo centrarme en lo que creo que la junta necesita escuchar”.

Un ciberestratega debe estar atento a su círculo muy unido de pares, incluso aquellos considerados competidores. Saben el valor de estar entre los primeros en aportar información sobre amenazas al ecosistema porque construye relaciones en las que dicha inteligencia se comparte recíprocamente.

También deben colaborar con los consorcios pertinentes y las autoridades del sector público, tanto para anticipar actividades nefastas como para mantenerse al tanto de los estándares de la industria y los requisitos de presentación de informes.

Conviértete en un experto en ciberseguridad con Google, ¿qué cursos gratuitos ofrece la plataforma?

Compartir información, otro logro del especialista

El especialista en ciberseguridad de la junta podría necesitar abogar por compartir información fuera de la empresa si los directores se muestran reticentes.

Evalúa la profundidad y amplitud de la red de un candidato preguntando sobre lo siguiente:

  • Grado de experiencia en alianzas públicas/privadas de inteligencia sobre ciberamenazas, como Centros de Análisis e Intercambio de Información (ISAC)
  • Grado de compromiso con otras organizaciones profesionales de ciberseguridad
  • Extensión de su red de pares
  • Alcance de sus contactos en la aplicación de la ley y la investigación de amenazas

5. Pensamiento innovador y conciencia de las tecnologías emergentes

“Como estratega, debes estar atento a lo que está sucediendo en la industria. Lo que está de moda y lo que la gente está implementando ciegamente para capturar nuevos mercados”, nos dijo una de las fuentes de nuestra junta directiva de CISO.

“Toda la nueva tecnología tiene implicaciones cibernéticas desconocidas, e incluso si usted forma parte del consejo de administración de una empresa innovadora y con visión de futuro, a veces es necesario ser usted quien controle el consejo”.

Eso podría significar sugerir que los especialistas en seguridad de la compañía realicen un análisis de riesgo exhaustivo sobre una nueva herramienta de IA o una reconfiguración del sistema, agregó.

El ciberestratega debe mantenerse informado de manera proactiva sobre las últimas tendencias y avances en tecnología. Particularmente aquellos relevantes para la industria de la organización.

Esto incluye mantenerse al tanto de las tecnologías emergentes para identificar oportunidades potenciales de innovación y comprender los riesgos asociados.

Por ejemplo, monitorear los avances en la computación cuántica que se espera que eventualmente rompan los métodos de cifrado de datos que se utilizan actualmente. Cuando se proponen nuevas tecnologías o proyectos, el ciberestratega debe abogar por evaluar las posibles implicaciones en materia de ciberseguridad.

Adiós al lobo solitario, se debe trabajar en equipo

El estratega también debe trabajar en estrecha colaboración con el equipo de operaciones para comprender las estrategias e iniciativas propuestas que involucran tecnologías emergentes.

Pueden proporcionar orientación y experiencia en cuestiones de ciberseguridad y ayudar a las operaciones a evaluar los riesgos potenciales y las implicaciones de sus propuestas.

También conocen los requisitos regulatorios y comprenden la importancia de mantener informado al equipo legal sobre la estrategia cibernética. Al colaborar, pueden lograr un equilibrio entre innovación y gestión de riesgos.

Evaluar la capacidad de los candidatos para anticipar los riesgos y beneficios de las tecnologías emergentes considerando lo siguiente:

  • Capacidad para articular los temas de ciberseguridad con tecnologías emergentes específicas y áreas de innovación relevantes para la empresa
  • Capacidad para evaluar la capacidad organizacional para aprovechar de forma segura la IA en las operaciones, describir los riesgos a la alta dirección y proponer mitigaciones
  • Comprensión de cómo aprovechar las nuevas tecnologías para mejorar las operaciones de ciberseguridad
  • Capacidad para evaluar los esfuerzos organizacionales en la protección de la arquitectura de red a nivel empresarial

Un ganar-ganar en la adopción de estos nuevos líderes

Al evaluar a los candidatos a la junta de ciberestrategas en estas cinco áreas clave (comunicación, conocimiento técnico, negocios, redes e innovación).

La junta aumenta la probabilidad de incorporar un nuevo director que facilitará debates efectivos, recibirá asesoramiento informado sobre cuestiones críticas de ciberseguridad y tomar decisiones estratégicas bien meditadas. Pero hay otra cualidad esencial que no hace falta mencionar: la orientación y la conducta éticas deben ser la piedra angular de la estrategia y la toma de decisiones cibernéticas, como debería serlo para los miembros de la junta directiva en general.

Las competencias que hemos revisado en este artículo sólo son verdaderamente beneficiosas cuando están ancladas en principios éticos inquebrantables.


SOBRE LOS AUTORES

Chon Abraham es profesor de Negocios (Sistemas de Información) de Mansfield en el área de Gestión de Operaciones y Sistemas de Información de la Escuela de Negocios Mason de William & Mary. Sasha Cohen O’Connell es profesora titular y ejecutiva residente en el Departamento de Justicia, Derecho y Criminología de la Facultad de Asuntos Públicos de la American University. Iria Giuffrida es profesora de práctica del derecho y decana adjunta de Asuntos Académicos y Docentes en la Facultad de Derecho William & Mary. Ronald R. Sims es profesor emérito de administración de empresas Floyd Dewey Gottwald Sr. en la William & Mary’s Mason School of Business.

REFERENCIAS (5)

1. “ La SEC adopta reglas sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por parte de empresas públicas ”, Comisión de Bolsa y Valores de EE. UU., 26 de julio de 2023, www.sec.gov; “ Estrategia Nacional de Ciberseguridad ”, archivo PDF (Washington, DC: La Casa Blanca, marzo de 2023), www.whitehouse.gov; y “ Orden ejecutiva para mejorar la ciberseguridad de la nación ”, La Casa Blanca, 12 de mayo de 2021, www.thewhitehouse.gov.

2. “ La sala de juntas de hoy: enfrentar el imperativo del cambio ”, archivo PDF (Londres: PwC, 2023), www.pwc.com.

3. “ Hoja informativa: Divulgaciones de ciberseguridad de empresas públicas; Reglas finales ”, archivo PDF (Washington, DC: Comisión de Bolsa y Valores de EE. UU., 2022), www.sec.gov.

4. M. Galligan y C. Oven, “ A New Chapter in Cyber ”, Deloitte, junio de 2022, www2.deloitte.com.

5. “ Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 (CIRCIA) ”, Agencia de Seguridad de Infraestructura y Ciberseguridad, consultado el 21 de noviembre de 2023, www.cisa.gov.