La función de seguridad cibernética no es un equipo administrativo al que nunca se ve ni se escucha. Para proteger verdaderamente a la empresa, la ciberseguridad llega a todos los rincones del negocio y comienza desde arriba. En la conferencia virtual de ISACA el 22 de febrero de 2024, dirigí una sesión sobre cómo los CISO pueden “atacar la mentalidad de la junta directiva” para alinear mejor la ciberseguridad con la gobernanza. Sin una aceptación fundacional por parte de la junta directiva, las empresas quedan vulnerables a ataques cibernéticos con consecuencias devastadoras. Si la seguridad cibernética no es una prioridad, se asignarán menos recursos a los equipos cibernéticos, que terminarán escasamente poblados y con poco tiempo. Esta protección general más débil, a su vez, abre el área de ataque para los ciberdelincuentes: muchos piratas informáticos ni siquiera quieren darse a conocer, sino que se infiltran en un sistema y extraen datos sin ser detectados durante años. Menos recursos significan que los equipos cibernéticos son menos proactivos y más reactivos, cuando el elemento crucial para el éxito es estar un paso por delante de los atacantes. Las juntas directivas no son responsables cuando ocurre una infracción; se les considera responsables cuando no hacen preguntas o no comprenden o prueban adecuadamente las respuestas. Es por eso que la primera misión del CISO debe ser garantizar que se formulen las preguntas correctas. Apuntar a la claridad sobre la seguridad cibernética en sí Las organizaciones deben tener clara su definición de seguridad cibernética. A medida que la tecnología evoluciona, también lo hacen los términos que utilizamos y cómo los entendemos, como cuando la «seguridad de TI» poco a poco se convirtió en «seguridad de la información», luego en «ciberseguridad», y ahora está envuelta en una visión más amplia de «confianza». Los miembros de la junta deben comprender todas las áreas del negocio y cómo las oportunidades y amenazas cibernéticas podrían afectarlas, en lugar de solo conocer un área en particular. Sin esto, las personas corren el riesgo de hacer suposiciones sin comprender adecuadamente lo que se quiere decir. Si la seguridad cibernética no se comprende al más alto nivel, se le puede quitar prioridad o malinterpretarse. El trabajo del CISO es traducir las cuestiones de seguridad cibernética en términos comerciales que hagan que la cuestión sea conocida, comprensible y tangible para los miembros de la junta directiva. Haga que los miembros de la junta se sientan cómodos haciendo preguntas incluso si no tienen las respuestas. Las juntas no «hacen», sino que «dirigen». Las preguntas que los miembros de la junta plantean son de vital relevancia para el negocio y no deben rehuir la seguridad cibernética porque no tienen las respuestas o soluciones adecuadas. No se espera que lo hagan. Mientras la junta haga las preguntas correctas, los expertos cibernéticos tendrán las respuestas: la clave es la curiosidad y profundizar en el «por qué» y el «qué» en lugar del «cómo». Si se abordan estos problemas, la empresa estará en la mejor posición. Los miembros de la junta se preocupan por la supervisión, el riesgo y la cultura de una organización, y deben separar la gobernanza de las responsabilidades de gestión. La seguridad cibernética no es una responsabilidad nueva de la junta directiva, es un tema que se debe considerar al realizar las tareas principales. Por ejemplo, las juntas deben fomentar las condiciones que permitan que el negocio tenga éxito. Debido a esto, tienen la obligación de diligencia para garantizar una gobernanza adecuada de la seguridad cibernética. También deben prevenir pérdidas y mitigar las condiciones, y por eso garantizar que el riesgo cibernético se gestione siguiendo su apetito de riesgo aprobado. Las juntas directivas deben permitir una dirección estratégica que ofrezca valor, por lo que es necesario implementar políticas y procedimientos para gestionar el riesgo cibernético. Finalmente, las juntas directivas no deben interferir con las decisiones de gestión o cuestiones operativas y, por eso, deben centrarse en las preguntas relacionadas con la cibernética que podrían plantear al equipo directivo. Demostrar que las personas, no la tecnología, están en el centro de la ciberseguridad. Cuando se trata de ciberseguridad, es vital pensar como el enemigo y defendernos con la misma tecnología que utilizan los piratas informáticos. En la era digital, la tecnología se ha democratizado con un acceso generalizado y, por lo tanto, las inversiones en cibernética deben centrarse tanto en tecnología como en procesos y personas. La inversión cibernética nunca debería ser una elección entre tecnología o personas, sino ambas: no se trata de que los humanos se defiendan de la tecnología, sino que utilicen la tecnología para defenderse del uso nefasto que otros hacen de ella. Considerándolo todo, la responsabilidad de la seguridad cibernética es interseccional: un cruce entre las responsabilidades diarias de la junta directiva y sus preocupaciones más amplias sobre la supervisión empresarial, la cultura y el riesgo. Es posible que la junta no sea directamente responsable cuando se produce un incumplimiento. Pero son responsables si no hacen las preguntas correctas o no se toman el tiempo para comprender adecuadamente lo que se espera de ellos. Bruno Soares es presidente del capítulo de Lisboa de ISACA.

Source link