Cómo los CISO pueden hablar de ciberseguridad de forma que tenga sentido para los ejecutivos

Los CISO saben que el riesgo cibernético es un riesgo empresarial. Las juntas directivas no siempre lo ven así.

Durante años, los CISO han luchado para que las juntas directivas entiendan la seguridad más allá de las palabras de moda. Muchos se sienten ignorados o malinterpretados. Pero con el aumento de las amenazas y el endurecimiento de las regulaciones, esto está cambiando. Las juntas directivas ahora esperan que los CISO hablen su idioma: riesgo, inversión e impacto.

A continuación, se explica cómo los líderes de seguridad pueden lograrlo, con consejos reales sobre cómo hacer que la ciberseguridad resuene en la sala de juntas.

Traducir el riesgo a dólares

La junta directiva no está llena de tecnólogos. La mayoría de los miembros provienen de los departamentos de finanzas, derecho u operaciones. Piensan en términos de rendimiento empresarial, responsabilidad y valor para los accionistas.

Así que no aparezcas con noticias de amenazas ni estadísticas de parches. Céntrate en lo que les importa. Por ejemplo:

Cómo un ataque de ransomware podría detener los ingresos durante una semana
Cómo una auditoría fallida podría afectar la confianza del cliente
Cómo una infracción podría generar multas regulatorias

Al dirigirse a la junta directiva, los líderes en ciberseguridad deben cambiar de la jerga técnica al lenguaje de riesgo y finanzas. «Las juntas directivas piensan en términos de probabilidad e impacto financiero, no en jerga técnica», afirma James Turgal , vicepresidente de riesgo cibernético global y relaciones con la junta directiva de Optiv.

Para que el riesgo cibernético tenga repercusión, Turgal utiliza modelos de cuantificación de riesgos como FAIR (Análisis Factorial del Riesgo de la Información). Estos modelos permiten a los CISO expresar las amenazas en términos que las juntas directivas entiendan. «Empiezo estimando tres cosas: la frecuencia con la que podría ocurrir algo malo, su coste y el impacto que podría tener en el negocio en términos de marca, ventas o cuota de mercado», explica.

En lugar de hablar de variantes de malware o vectores de ataque, Turgal presenta escenarios como: «El riesgo de un ataque de ransomware este año es del 5 % y, de ocurrir, la pérdida promedio sería de 4,5 millones de dólares». También vincula el ciberriesgo con resultados empresariales concretos. Por ejemplo, podría mostrar cómo una vulneración de un portal de clientes podría reducir los ingresos en un 8 % en un trimestre debido a la interrupción del servicio y la pérdida de clientes.

“Todo director financiero conoce la cifra financiera diaria de operaciones perdidas debido a la inactividad del sistema”, señala Turgal. “El CISO solo tiene que hacer los cálculos”.

Turgal también recomienda alinear el riesgo cibernético con las métricas financieras que ya utilizan las juntas directivas, como el valor en riesgo. «Si no mejoramos nuestros controles de seguridad en la nube , prevemos una exposición a pérdidas anualizadas de 1,2 millones de dólares», podría decir. Esto ayuda a traducir las decisiones técnicas en consecuencias para el resultado final que las juntas directivas pueden evaluar y tomar medidas.

Centrarse en las tendencias y utilizar un lenguaje sencillo

Las juntas directivas no necesitan todas las alertas de amenaza. Pero sí quieren saber si la situación está mejorando o empeorando. Muéstreles el progreso a lo largo del tiempo. Por ejemplo:

Tendencia trimestral de intentos de phishing y tiempos de respuesta
Métricas que muestran las tasas de clics de los empleados en ataques simulados
Un cuadro de mando que compara los niveles de riesgo actuales con los del trimestre pasado

Resalte los valores atípicos. ¿Qué está empeorando? ¿Qué está bajo control? Sea transparente sobre las brechas y lo que está haciendo para cerrarlas.

Evite la jerga. Diga «delincuentes entraron ilegalmente» en lugar de «acceso no autorizado». Diga «cifraron nuestros archivos y nos pidieron dinero» en lugar de «evento de ransomware». Luego, respáldelo con imágenes sencillas. Los gráficos circulares o los mapas de riesgo son mucho más efectivos que las hojas de cálculo llenas de números.

Mantenga las actualizaciones breves. Las reuniones de la junta directiva son intensas. No las inunde con detalles. Procure una actualización de cinco minutos con conclusiones claras: ¿Qué ha cambiado? ¿Cuáles son los riesgos? ¿Qué recomienda?

Con temas técnicos complejos y amenazas en constante evolución que abordar, el breve espacio de tiempo habitual suele resultar insuficiente para un diálogo significativo. Los líderes de seguridad pueden abordar esto preparando con antelación materiales informativos concisos y centrados en el negocio, y priorizando los temas más críticos para su debate. Cuando persistan las limitaciones de tiempo, deberían promover sesiones específicas para garantizar una supervisión adecuada de los asuntos de ciberseguridad, afirmó Ross Young , CISO residente de Team8.

Vincular la seguridad a los objetivos comerciales

Para alinear la ciberseguridad con los objetivos empresariales, los CISO deben comprender la misión principal de la empresa e identificar la intersección entre la seguridad y dicha misión. «Un ejemplo de ello es la creación de un foro de debate sobre cómo la ciberseguridad protege los ingresos y el crecimiento», afirmó Turgal. Cuando la confianza se ve comprometida, las consecuencias son inmediatas: afectan las ventas, la lealtad a la marca y, en última instancia, la cuota de mercado.

Según Turgal, esta alineación suele implicar la vinculación de iniciativas de seguridad específicas con los objetivos estratégicos de la empresa. Por ejemplo, si una empresa se está expandiendo a mercados internacionales, los CISO pueden apoyar ese objetivo obteniendo certificaciones de ciberseguridad como la ISO 27001 o alineándose con los marcos de privacidad del RGPD . Esto no solo reduce el riesgo, sino que también ayuda a consolidar la credibilidad en nuevas regiones.

Al comunicarse con la junta directiva, Turgal aconseja relacionar las iniciativas de ciberseguridad con el valor para los accionistas. «Si el objetivo empresarial es proteger el valor para los accionistas, existe una conexión directa con la continuidad del negocio y un mayor tiempo de actividad operativa». Para ello, los líderes de seguridad podrían aumentar la ciberresiliencia mediante copias de seguridad inmutables en contenedores, recuperación ante desastres y planes de respuesta a incidentes: herramientas que pueden mitigar los ataques que dañan la marca y prevenir la volatilidad del precio de las acciones.

El cumplimiento normativo es otra área donde la seguridad y la estrategia empresarial se entrelazan. «Si el objetivo empresarial es mantener el cumplimiento normativo y evitar o reducir las multas, la clave para la ciberseguridad sería invertir e implementar aplicaciones de automatización del cumplimiento normativo y controles de seguridad», explicó Turgal. Estas medidas garantizan la conformidad con normativas como PCI-DSS, SOX o HIPAA, según el sector de la organización.

Anticipar las preguntas de la junta

Antes de cada reunión, pregúntese:

¿Qué riesgos les preocuparán más en este momento?
¿Habrá titulares sobre los que me preguntarán?
¿Qué decisiones necesito que tomen?

Planifica tus actualizaciones teniendo esto en cuenta. Y practica respondiendo preguntas como:

¿Estamos haciendo lo suficiente?
¿Cómo nos comparamos con nuestros pares?
¿Podría pasarnos esto a nosotros?

No tengas miedo de decir “No lo sé”, pero siempre continúa con “Lo averiguaré y me pondré en contacto contigo”.

Después de cada reunión de la junta directiva, presente un resumen escrito: lo que presentó, la retroalimentación recibida y las decisiones tomadas. Esto fomenta la responsabilidad y demuestra profesionalismo. También es útil cuando cambian las prioridades o se recortan los presupuestos . Tendrá un registro de lo acordado y su importancia.

Construir relaciones fuera de la sala de juntas

Algunas de las conversaciones más productivas no ocurren en reuniones. Ocurren tomando un café o en llamadas con miembros individuales de la junta directiva.

Si es posible, programe reuniones individuales con los directores para explicarles los riesgos clave. Pregúnteles qué desean saber más. Averigüe cómo prefieren recibir información.

Al establecer una buena relación fuera de la reunión, enfrentará menos sorpresas dentro de ella.

Sus aliados más fuertes en la junta directiva suelen ser el director financiero y el jefe de asuntos legales. Ellos comprenden el riesgo y la responsabilidad, y hablan el idioma de la junta.

Colabora con ellos para definir tu mensaje. Pídeles que sometan a prueba tus datos y te ayuden a refinar el impacto financiero de los riesgos. Si te apoyan, tu mensaje tendrá más peso.

Los CISO con buenas relaciones con la junta directiva tienden a tener una mejor colaboración en toda la organización. También es más probable que se les otorgue la capacidad de desarrollar casos de uso para la IA generativa, como la creación de reglas de detección de amenazas, el análisis de fuentes de datos, la respuesta a incidentes e investigaciones forenses, y la búsqueda proactiva de amenazas, según un estudio reciente de Splunk.

Fuente y redacción: helpnetsecurity.com

Traducir el riesgo a dólares

Centrarse en las tendencias y utilizar un lenguaje sencillo

Vincular la seguridad a los objetivos comerciales

Anticipar las preguntas de la junta

Construir relaciones fuera de la sala de juntas

LightNeuron, el Malware que puede leer, bloquear y hasta redactar correos electrónicos desde tu cuenta

La NSA publica el código fuente de GHIDRA – Herramienta gratuita de ingeniería inversa

Descubren Malware en cajeros en México