08 de julio de 2024The Hacker NewsCiberseguridad / Seguridad empresarial Eventos como el reciente ataque masivo de ransomware CDK, que cerró concesionarios de automóviles en todo Estados Unidos a fines de junio de 2024, ya casi no llaman la atención del público. Sin embargo, las empresas y las personas que las dirigen están justificadamente nerviosas. Todos los CISO saben que la ciberseguridad es un tema cada vez más candente tanto para los ejecutivos como para los miembros de la junta directiva. Y cuando llega la inevitable reunión informativa del CISO y la junta directiva, todos quieren respuestas: ¿Estamos a salvo de los ataques? ¿Estamos avanzando? ¿Podríamos ¿Qué nos puede pasar a nosotros? Todas estas son preocupaciones justas. La pregunta es, ¿cuál es la mejor manera de responderlas? El directorio de una empresa merece información clara y concisa vinculada a los objetivos comerciales, no detalles técnicos sobre soluciones o métodos de ataque. Una brecha de comunicación entre el CISO y el directorio puede generar malentendidos, mayor riesgo y ciberataques potencialmente devastadores. Y es por eso que uno de los desafíos primordiales para los CISO en la actualidad sigue siendo: ¿Cómo presentar el riesgo de una manera que el directorio pueda comprender y aprovechar para tomar decisiones informadas? Consulte el nuevo libro electrónico de XM Cyber, A CISO’s Guide to Reporting Risk to the Board. Está repleto de estrategias y consejos para ayudarlo a responder finalmente las preguntas del directorio sobre el riesgo con confianza y precisión. Al establecer un plan para una comunicación clara y un progreso mensurable, los CISO pueden finalmente generar confianza en la sala de juntas y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos. Los números hablan A pesar de esta clara y apremiante necesidad de comunicación, una investigación reciente de Heidrick and Struggles, una empresa líder en búsqueda de ejecutivos y servicios de consultoría de cultura corporativa, reveló una preocupante desconexión entre los CISO y los CEO. Solo el 5% de los CISO reportan directamente al CEO, lo que indica una posible falta de influencia de alto nivel, y 2/3 de los CISO están dos niveles por debajo del CEO en la estructura de informes. Esto significa que la mayoría de los líderes de ciberseguridad siguen estando varios pasos alejados de la toma de decisiones organizacional. El estudio del Ponemon Institute también encontró que solo el 37% de las organizaciones creen que utilizan de manera efectiva la experiencia de su CISO. La investigación de Gartner destaca una tendencia similar: solo el 10% de las juntas directivas tienen actualmente un comité de ciberseguridad dedicado supervisado por un miembro de la junta. Estas cifras exponen debilidades significativas en cómo las organizaciones estructuran los informes y cómo las juntas reciben informes. A pesar de un papel más directo para los CISO, persiste el desafío de traducir el riesgo en términos comerciales claros. Las preguntas Como CISO, hacerse estas cinco preguntas clave puede ayudarlo a superar la brecha de comunicación entre la junta y los ejecutivos, presentar una imagen clara de la postura de ciberseguridad y obtener el apoyo necesario para gestionar eficazmente el riesgo: 1. ¿Cómo justifico mi presupuesto de ciberseguridad? Los CISO comprenden que una ciberseguridad sólida requiere una inversión constante. Sin una justificación clara, sus solicitudes de presupuesto corren el riesgo de reducirse o rechazarse rotundamente. Por lo tanto, demuestre que sus objetivos no solo son alcanzables sino que valen la pena demostrando el retorno de la inversión en ciberseguridad. Muestre a los detractores que al asegurar recursos para salvaguardar los datos y la infraestructura críticos, en última instancia está protegiendo la salud financiera de la organización. 2. ¿Cómo domino el arte de los informes de riesgos? Dominar los informes de riesgos es fundamental si desea cambiar la percepción ejecutiva de la ciberseguridad. Las audiencias no técnicas luchan con amenazas de seguridad complejas. Es por eso que sus informes deben ser claros y basados ​​en datos. Deben cuantificar los riesgos en términos comerciales, destacando las posibles pérdidas financieras por infracciones. De esta manera, demuestra el valor de las inversiones en seguridad para proteger el bienestar financiero de la organización, convirtiendo la ciberseguridad de un centro de costos a un facilitador comercial. 3. ¿Cómo celebro los logros en materia de seguridad? No se concentre solo en los problemas; celebrar los logros en materia de seguridad es crucial. Reconocer los éxitos de su equipo aumenta la moral de la organización, fomenta una cultura de concienciación sobre la seguridad y resalta el valor de las inversiones en ciberseguridad. El reconocimiento público de los ataques que se desviaron puede disuadir a los atacantes y, al mismo tiempo, tranquilizar a las partes interesadas sobre el compromiso de la organización con la protección de datos. 4. ¿Cómo colaboro mejor con otros equipos? Los CISO eficaces comprenden que la ciberseguridad no es una tarea individual. Una seguridad sólida depende de un compromiso de vigilancia de toda la empresa. Por eso, la colaboración con otros departamentos, como TI, RR. HH. y Legal, es esencial. Al trabajar juntos, los CISO pueden integrar la capacitación en concienciación sobre seguridad en los programas de incorporación y desarrollo de empleados. Además, sus esfuerzos colaborativos pueden dar lugar a políticas de seguridad más claras que se alineen con los procesos comerciales. Y la colaboración fortalece los protocolos de respuesta a incidentes, asegurando una respuesta rápida y coordinada a las brechas de seguridad. 5. ¿Cómo me concentro en lo que más importa? Los CISO son bombardeados con amenazas y tareas. La priorización es clave. Concentrarse en lo que realmente importa garantiza que los recursos se dirijan de manera eficaz. Esto significa identificar los riesgos de seguridad más críticos, alinearlos con los objetivos comerciales de su organización y abordarlos estratégicamente. Al decir no a las distracciones y concentrarse en iniciativas de alto impacto, puede optimizar la postura de seguridad y maximizar la resiliencia general de su organización. Cómo cerrar la brecha: comunicación eficaz para los CISO La creciente ola de ciberataques exige una comunicación clara entre los CISO y las juntas directivas. Para cerrar esta brecha y obtener un apoyo crucial, los CISO deben priorizar la comunicación eficaz de los riesgos. Deshágase de la jerga técnica y traduzca las amenazas complejas a términos comerciales. Resalte el impacto financiero de los ciberataques, el posible daño a la reputación y las interrupciones en las operaciones principales. Al enmarcar la ciberseguridad como un problema comercial, los CISO pueden asegurar la aceptación de la junta directiva para inversiones esenciales en seguridad. (Consulte este excelente artículo para obtener más consejos sobre cómo lograr la aceptación ejecutiva de las iniciativas de seguridad aquí). Además, recuerde que la comunicación va más allá de simplemente presentar los problemas. Los CISO también deben demostrar el progreso y alejarse de las métricas básicas para desarrollar informes basados ​​en datos que muestren la eficacia de las inversiones en seguridad. Se deben realizar un seguimiento de las métricas clave, como las reducciones en los ataques exitosos o el tiempo que se tarda en identificar y contener las infracciones. Estos puntos de datos demostrables ayudarán a transmitir su mensaje. Consulte el nuevo libro electrónico de XM Cyber, A CISO’s Guide to Reporting Risk to the Board. Está repleto de estrategias y consejos para ayudarlo a responder finalmente las preguntas de la junta sobre el riesgo con confianza y precisión. Al establecer un plan para una comunicación clara y un progreso mensurable, los CISO pueden finalmente generar confianza en la sala de juntas y asegurar los recursos necesarios para gestionar eficazmente los riesgos cibernéticos. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.