CIBERSEGURIDAD

Gestión de riesgos cibernéticos: llevar inteligencia de seguridad a la junta.

Escrito por Josh Lefkowitz, director ejecutivo de Flashpoint

Las violaciones de datos son costosas. Según un estudio reciente del Ponemon Institute, la brecha promedio le cuesta a una organización $ 3.86 millones. Un estudio separado encontró que, aunque el precio de las acciones de las empresas afectadas por la infracción muestra su caída más pronunciada 14 días después de que la infracción se hace pública, todavía hay un impacto perceptible en la valoración de las acciones de la organización tres años después del evento.

Los impactos comerciales en este nivel afectan el desempeño financiero fundamental y la sostenibilidad de una organización, lo que significa que la ciberseguridad ya no debe considerarse un problema de TI; es un asunto de la junta en su función de custodio del valor para los accionistas. Al gestionar el riesgo cibernético como parte de la estrategia general de riesgo de la organización, las juntas pueden colocarlo en un contexto comercial e impulsar la conciencia cultural del riesgo que es esencial para promover la resiliencia cibernética en toda la empresa.

Hacer el cambio de una gestión de riesgos centrada en la tecnología a una centrada en el negocio

Sin embargo, elevar la gestión del riesgo cibernético al nivel de la junta no está exento de desafíos. Todavía estamos en medio de un cambio de mentalidad de una visión centrada en la tecnología a una visión centrada en el negocio de las amenazas cibernéticas. Esto puede resultar en una desconexión: muchas juntas tienen dificultades para interpretar la información que reciben del equipo de TI, mientras que muchas funciones de TI luchan por comprender qué datos realmente necesita la junta para llevar a cabo una supervisión eficaz. Este desafío fue subrayado por las entrevistas de EY que encontraron dificultades para “obtener información relevante, objetiva y confiable, presentada en términos centrados en el negocio …[and this] afecta la capacidad de los miembros de la junta para comprender el riesgo que enfrentan sus organizaciones y evaluar la respuesta de la administración a estos riesgos «.

Esta área es donde el rol evolutivo del CISO, que se encuentra entre la empresa y la junta, requiere una combinación de habilidades. Los CISO necesitan tanto experiencia técnica para analizar e interpretar métricas de amenazas y desempeño tecnológico, como la capacidad de aplicar estas habilidades en un contexto comercial más amplio para los directores de la junta, de modo que puedan brindar supervisión y gobernanza de riesgo cibernético estratégico para el negocio.

Informar a la junta: de los números a la narrativa

Si bien cada vez más las juntas están teniendo en cuenta los conjuntos de habilidades cibernéticas en su planificación de sucesión al reclutar nuevos miembros de la junta, la mayoría de los directores de juntas actuales no tienen una gran experiencia en ciberseguridad. Esto significa que cualquier informe basado en métricas debe ser fácil de interpretar, incluidas cifras auditables que brinden una descripción general de la postura de seguridad de la organización.

Los informes también deben enmarcarse en términos de los impactos que incidentes de seguridad específicos tienen en el negocio. Por ejemplo, un ataque DDoS puede generar riesgo para la reputación, riesgo operativo y riesgo estratégico. Y, por supuesto, la otra cara del riesgo es el cumplimiento, por lo que la junta también necesita saber cómo los incidentes de ciberseguridad podrían afectar la privacidad y la gobernanza de los datos.

El papel de la junta es desafiar a la alta dirección con firmeza para ofrecer una supervisión eficaz, por lo que los CISO deben estar preparados para responder preguntas sobre la madurez de la ciberseguridad de la organización y los marcos establecidos para gestionar las amenazas emergentes.

Sin embargo, si bien los números y los marcos son valiosos para ayudar a las juntas a evaluar y auditar la postura del riesgo cibernético, cuando se trata de establecer una cultura consciente del riesgo, los directores realmente necesitan un contexto más profundo en torno a los tipos de amenazas específicas de su organización. Si los directores de la junta tienen una ventana al entorno, las tácticas y la psicología motivacional de los actores que se dirigen a su sector y negocio, ellos mismos pueden comprender mejor los riesgos. Una vez que se ha logrado, los directores de la junta pueden convertirse en un activo para el CISO en la promoción de una cultura consciente del riesgo cibernético no solo como un ejercicio de casilla de verificación, sino porque tienen una apreciación genuina de los factores, y de hecho los actores, en juego.

Para lograr esta aceptación a nivel de la junta, los CISO deben pasar de los números a la narrativa para llevar el mensaje a casa. Aquí es donde la inteligencia de riesgo empresarial proporciona el contexto que ayuda a dar vida al riesgo.

Sin duda, es útil para los líderes senior comprender la frecuencia y el tipo de ciberataques que experimentan las empresas, pero también es valioso para ellos saber hasta qué punto la organización es el tema de conversación en las comunidades ilícitas en línea que inician esos ataques.

Los foros de la web profunda y oscura, los servicios de chat y otras plataformas suelen ser lugares donde los ciberdelincuentes discuten tácticas para defraudar o infiltrarse en la organización. En este tipo de lugares también se pueden ofrecer a la venta secretos de la empresa, propiedad intelectual y datos robados. Una descripción general del perfil de la empresa en la web profunda y oscura, así como otras comunidades ilícitas en línea, y los tipos de tácticas que se están discutiendo, es una forma poderosa en que los CISO pueden ayudar a los directores a obtener contexto para comprender a qué se enfrenta la empresa.

Ilustrando el riesgo de terceros

El riesgo de terceros, incluidas las debilidades de la cadena de suministro, es un tema candente entre las salas de juntas, ya que las empresas se dan cuenta de que mantener su propia casa en orden no es suficiente. La inteligencia obtenida de comunidades ilícitas en línea también se puede utilizar para ilustrar las posibles debilidades o amenazas a las organizaciones asociadas. Esta inteligencia puede ayudar a las juntas a cumplir los objetivos para gestionar el riesgo de la cadena de suministro.

La supervisión exitosa del riesgo cibernético por parte de los consejos de administración de la empresa depende de que reciban una combinación de métricas auditables, evaluaciones del impacto del riesgo e información contextual que les permita brindar una supervisión informada del riesgo cibernético. Una mayor comprensión del entorno de los actores de amenazas también ayuda a las juntas directivas a liderar una cultura consciente del riesgo en toda la empresa, pasando de un enfoque de casillas a un cambio cultural genuino.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar