Agregar a un CISO (Chief Information Security Officer) a una junta directiva es una medida popular, pero no es suficiente para mejorar la resiliencia cibernética. Aprende cómo aumentar la perspicacia en materia de seguridad de toda una junta directiva.
Las juntas directivas de hoy enfrentan un panorama de amenazas en constante evolución y expectativas crecientes de gobernanza de la ciberseguridad. En 2023, la Comisión de Bolsa y Valores de Estados Unidos adoptó nuevas reglas que requieren que las empresas que cotizan en la bolsa describan la supervisión de amenazas a la ciberseguridad. Mantener un equipo de seguridad de la información se hizo indispensable.
Se están llevando a cabo iniciativas regulatorias similares en Europa y la región de Asia y el Pacífico.
Pero muchos miembros de la junta consideran que cumplir esas expectativas y demandas regulatorias es un gran desafío. Según una investigación de The Wall Street Journal, el 98 por ciento de los CEO no tienen experiencia en ciberseguridad. Esto es sorprendente.
Sin experiencia en seguridad, les resulta difícil ver a través de casos de fachada en el material cuidadosamente seleccionado que llega al tablero.
La solución intuitiva a este problema es contratar a un director de seguridad de la información (CISO) actual o anterior para la junta directiva. En consecuencia, la proporción de CISO que forman parte de juntas corporativas se duplicó con creces en solo un año. Pasó del 14 por ciento en 2022 al 30 por ciento en 2023, según una encuesta de Heidrick & Struggles.
A primera vista, esto parece ser beneficioso para todos, ¿verdad?
Cuidado con sextorsión: 4 medidas de ciberseguridad para protegerte tu intimidad
Reclutar CISO para la junta directiva sólo por su experiencia en ciberseguridad es un error por dos razones principales.
En primer lugar, se supone que las juntas directivas actúan como un colectivo. A diferencia de los equipos directivos, que dependen de la responsabilidad individual. Lo ideal es que actúen como una sola unidad para lograr consenso sobre cuestiones como la estrategia, el riesgo y la gobernanza.
Las juntas toman decisiones de manera colectiva y cada miembro comparte la responsabilidad colectiva. Ningún miembro individual de la junta debe actuar de forma independiente.
Contratar a un director de seguridad de la información sólo para tener un experto en ciberseguridad va en contra de la idea de que la junta sea un colectivo.
En segundo lugar, considera el área principal de especialización de un CISO, que a menudo es la tecnología o la seguridad. Para contribuir a la junta, los directores deben estar alfabetizados en una amplia gama de áreas.
El riesgo de ciberseguridad puede aparecer en la agenda solo durante unos minutos durante las reuniones de la junta directiva que pueden durar varios días. Los directores de seguridad de la información también deben tener conocimientos en todas las demás áreas.
En lugar de delegar la comprensión de los riesgos de ciberseguridad a un miembro de la junta mediante la contratación de un CISO, las juntas deberían elevar su propio conocimiento.
Esto no significa que cada miembro de la junta directiva deba aumentar sus conocimientos de una vez. Algunos miembros individuales de la junta podrían estar más inclinados a involucrarse con la ciberseguridad y pueden ayudar a liderar el camino y canalizar las conversaciones.
Sin embargo, es importante que no se conviertan en los expertos a los que todos los demás delegan la toma de decisiones cuando la ciberseguridad aparece en la agenda.
Muchas juntas han comenzado a hacer algo respecto del riesgo de ciberseguridad, pero muy pocas adoptan un enfoque integral. Aquí hay cuatro estrategias que he incorporado en mi trabajo con las juntas directivas para elevar sus capacidades de ciberseguridad.
Los directores de juntas individuales pueden utilizar recursos internos para mejorar sus conocimientos sobre ciberseguridad. Los presidentes y miembros de la junta pueden solicitar un tiempo individual con el CISO.
Luego, el presidente puede hacer preguntas; Por ejemplo:
El propósito de esta reunión es tratar de descubrir qué información no llega a la junta. Además, los miembros pueden solicitar más detalles sobre el riesgo de ciberseguridad para complementar las breves diapositivas de resumen de alto nivel.
Muchos miembros de juntas directivas forman parte de varias juntas directivas de empresas, pero no hay dos organizaciones exactamente iguales.
Al mirar dentro de una empresa a la vez, los miembros de la junta directiva pueden familiarizarse más con la situación. Dedicar individualmente tiempo de calidad a la ciberseguridad proporciona a los miembros de la junta conocimientos específicos para que puedan contribuir a los debates.
¿Eres gamer? Protégete tu cartera con estas 5 medidas de ciberseguridad
Los miembros individuales de la junta pueden tomar cursos de educación ejecutiva sobre riesgos de ciberseguridad en escuelas de negocios. Por ejemplo, el programa de ciberseguridad de Oxford para líderes empresariales .
Estos cursos cubren los fundamentos del riesgo de ciberseguridad, así como nuevos desarrollos, tendencias y riesgos en los mundos regulatorio y tecnológico. También exponen a los miembros de la junta directiva a estudios de casos y mejores prácticas de otras empresas e industrias sobre la gestión de riesgos de ciberseguridad.
Para elevar la experiencia colectiva de todos los directores de la junta directiva, algunas empresas han creado foros recurrentes de ciberaprendizaje. En mi experiencia, ésta es una táctica inusual pero valiosa.
Estos foros trimestrales o semestrales se encuentran fuera de los procesos formales de gobernanza. El CEO preside el foro, invita a toda la junta directiva y al equipo directivo, y trabaja en estrecha colaboración con los equipos de TI y ciberseguridad en la agenda.
Las personas que lideran la discusión y comparten información son en su mayoría colegas internos. A los miembros de la junta no se les pide que analicen las opciones de otras empresas, sino que miren hacia adentro.
Los foros de aprendizaje ofrecen otra oportunidad para que los miembros de la junta miren más allá de la información que se presenta durante las reuniones.
La gestión del riesgo de ciberseguridad a menudo se delega a un subcomité, como el de auditoría, riesgo o tecnología. Aquí es donde tiene lugar la mayor parte del trabajo de gobernanza.
Pero también es importante que toda la junta directiva dedique cantidades sustanciales de tiempo al riesgo de ciberseguridad como colectivo.
Una sesión de la junta personalizada que se lleva a cabo después de una reunión trimestral es una de las cosas más efectivas que una junta puede hacer.
Al adoptar un enfoque integral para mejorar la experiencia en ciberseguridad, las juntas pueden adelantarse a los atacantes y desarrollar de manera proactiva la resiliencia cibernética.
La incorporación de los cuatro elementos de este enfoque puede ayudar a que la junta se sienta más cómoda con todas las discusiones sobre riesgos de ciberseguridad.
Manuel Hepfer es jefe de conocimientos y perspectivas de la empresa de ciberseguridad Istari y afiliado de investigación de la Saïd Business School de la Universidad de Oxford.