Siete errores que cometen los CISO cuando se presentan a la junta directiva
Es esencial comunicar eficazmente la ciberseguridad a las partes interesadas más importantes de la organización. A continuación, explicamos cómo superar los errores más comunes que cometen los CISO al presentarse ante una junta directiva.
Los consejos de administración de las empresas piden a sus CISO que les informen más a menudo sobre los riesgos de ciberseguridad. Esto da a los responsables de seguridad la oportunidad de ayudar a los altos cargos de la empresa a comprender mejor el valor de la seguridad y les hace más propensos a apoyar y reforzar las estrategias de seguridad.
Sin embargo, hablar con la junta directiva sobre ciberseguridad de una manera que sea productiva puede ser un reto importante, y no hacerlo de manera efectiva puede resultar en confusión, desilusión y falta de cohesión entre los directores, la función de seguridad y el resto de la organización. A continuación se exponen algunos errores comunes que cometen los CISO al hablar con la junta directiva, junto con consejos para evitarlos.
1. Utilizar un lenguaje de seguridad demasiado técnico
"Cuando se presentan a la junta directiva, los CISO deben tener cuidado con el lenguaje que utilizan. Si son demasiado técnicos, perderán a su audiencia", explica Michael Tamir, CISO de Cyren, a CSO. "Los directores no suelen ser expertos en seguridad y utilizar una jerga demasiado técnica va a ser contraproducente", añade.
"A los miembros de los consejos de administración no les gustan las cosas que no entienden, y la mayoría están haciendo mil cosas diferentes en su cabeza, por lo que, perceptivamente, tienen poca capacidad de atención", coincide el analista del Foro de Seguridad de la Información y antiguo CISO, Paul Watts. Los CISO deben traducir lo profundamente técnico a términos empresariales siempre que sea posible y explicar las cosas que no pueden. "Hay que ser lo más sucinto posible, usar un ritmo sensato y visualizar en lugar de usar muchas palabras".
2. Centrarse en los impactos de las amenazas equivocadas
Los CISO deben asegurarse de que los mensajes sobre las amenazas nunca se alejen de los impactos comerciales para la organización, dice el CISO de CyberGRX, Dave Stapleton. "Un CISO puede entender por qué la dependencia de una biblioteca de código específica representa una amenaza para un activo orientado a Internet, pero es probable que esto esté demasiado lejos para el consejo de administración", añade.
Sounil Yu, CISO de JupiterOne, está de acuerdo. "Los CISO suelen hablar en griego cuando el resto de la junta directiva habla en dólares y en sentido común. Para conectar con la junta en un lenguaje que puedan entender, los CISO deben centrar su mensaje en cómo la seguridad permite al negocio entrar en nuevos mercados, ejecutar nuevas iniciativas y reducir cuantitativamente la exposición a pérdidas anuales".
Aquí es donde saber qué indicadores clave de rendimiento (KPI) mide la junta directiva y ser capaz de evaluar el impacto de las amenazas en esos KPI puede ser particularmente útil, dice Rob Dartnall, presidente del consejo del Reino Unido en el organismo de acreditación y certificación de seguridad de la información, CREST. "Poder relacionar el riesgo de las amenazas con el impacto en un servicio de la empresa o en las principales estrategias y objetivos del consejo de administración es muy potente", añade.
Los problemas de seguridad que merecen la atención del consejo deben enmarcarse en el contexto de cómo las amenazas, si no se abordan, pueden obstaculizar el crecimiento del negocio o introducir niveles inaceptables de riesgo operativo o empresarial, coincide Yu.
En cuanto al ejemplo de la amenaza de la biblioteca de código citado anteriormente, Stapleton dice que es mucho más probable que un líder de seguridad capte la atención de la junta directiva hablando del riesgo de la cadena de suministro de software de la empresa y describiendo el retorno de la inversión (ROI) que se espera de la implementación de un programa de análisis de la dependencia del código.
3. Confiar en los informes de riesgos cibernéticos listos para usar
Los CISO a menudo informan de la postura de riesgo cibernético basándose en lo que les dicen sus herramientas, que normalmente se centran en los agregados de las actividades operativas, los esfuerzos de remediación de la vulnerabilidad, o incluso las medidas de tamaño único, dice Peter Prizio, CEO de Booz Allen Hamilton, spinout de inteligencia de amenazas SnapAttack. "Sin embargo, esto es un error. No todos los riesgos son iguales, y esas puntuaciones de riesgo carecen del matiz y el contexto necesarios para hacerlas procesables".
En su lugar, Prizio dice que los CISO necesitan centrarse en las cosas que más le importan a la empresa, como mantener su reputación, proteger las joyas de la corona o continuar con las operaciones. "Luego necesitan vincular los activos específicos que los apoyan y asignar el riesgo en términos que la junta pueda entender". También advierte del peligro de utilizar los objetivos de cumplimiento para medir y cuantificar el riesgo, ya que no es lo mismo mostrar los avances respecto a los requisitos normativos, que comunicar los verdaderos riesgos a los que se enfrenta una empresa.
4. No prepararse para posibles preguntas
"Las reuniones de la junta directiva no son un buen lugar para las sorpresas", dice James Nelson, vicepresidente de seguridad de la información en Illumio, y los CISO necesitan evitar ser sorprendidos por preguntas que no pueden responder. "La preparación debe incluir no sólo la generación del contenido en sus diapositivas, sino también pensar en las preguntas que la junta potencialmente le preguntará y considerar sus respuestas de antemano".
Nelson aconseja informar a los asistentes del equipo ejecutivo tanto del material que has preparado, como de las preguntas que crees que te harán, así como de cómo piensas responderlas. "Sabrán que no puedes adivinarlas todas, pero el proceso puede ayudar a generar confianza", añade.
5. Exceso de información y alarmismo en materia de seguridad
Una sala de juntas no es el lugar para desahogarse, aunque puede ser tentador cuando se siente la carga colectiva de los riesgos de todos sobre los hombros, dice Watts. "No seas la profecía de la fatalidad, y ten mucho cuidado cuando uses el miedo, la incertidumbre y la duda (FUD) como arma de presión: puede volverse en tu contra".
En su lugar, hay que explicar por qué se cree que existe un problema, y seguir con las opciones de solución, recomendaciones y sus beneficios asociados, continúa Watts. "Hacerlo como un paquete".
También es clave evitar los segmentos de otros debates a medida que van surgiendo durante las conversaciones. "Toma nota mentalmente, apárcalos y vuelve a ellos", dice Watts. A la hora de dar malas noticias, evita las acusaciones o la confrontación durante la entrega. "Prepara al público de antemano para suavizar el golpe. A los consejos de administración no les gustan las sorpresas —sobre todo las malas—".
6. Presentar la ciberseguridad como un centro de costes
"Un error común que cometen los CISO cuando hablan a la junta directiva es no abordar la visión anticuada de que la seguridad es un centro de costes", dice Mandy Andress, CISO en Elastic, a CSO. "Esa mentalidad debe cambiar, y los CISO deben ayudar a la junta a ver la seguridad como un habilitador de negocios que facilita el crecimiento y la innovación".
Jasmine Henry, directora de seguridad de campo en JupiterOne y antigua CISO, coincide. "Los líderes de seguridad a menudo se acercan a las reuniones de la junta directiva con la esperanza de ganar recursos y presupuesto adicionales. Aunque puede ser tentador argumentar a favor de la inversión en seguridad presentando una compleja lista de necesidades técnicas, los CISO deben considerar cómo cambiar la percepción de los miembros de la junta directiva de que la seguridad es un centro de costos", dice.
Los CISO pueden ganarse el apoyo de la junta directiva presentando pruebas de que la seguridad es un motor de ingresos en lugar de una función costosa, y esto puede lograrse cuantificando el impacto final de la seguridad en la rentabilidad, añade Henry. "Las métricas importantes incluyen la participación de la seguridad en el proceso de ventas, la velocidad de los cuestionarios de seguridad de ventas completados y el valor total de los ingresos de todos los contratos de los clientes que incluyen obligaciones de seguridad y cumplimiento".
Del mismo modo, si se producen cortes o costes debido a un tipo de ataque concreto, puede ser útil transmitir cuál sería el aumento de los beneficios, basado en la eliminación de esa amenaza, dice Dartnall. "Un ejemplo sería: Reembolsamos XX millones de libras esterlinas en fraudes contra nuestros clientes basándonos en el tipo de ataque Y. Al implantar este control, recuperaremos X millones de libras en ingresos perdidos", explica.
7. No invertir en relaciones fuera de la sala de juntas
Matthew Smith, director de división de ciberseguridad y seguridad de la información en St. James's Place Wealth Management y miembro del ClubCISO, afirma que los CISO pueden ser culpables de no comprometerse con los miembros de la junta directiva fuera del contexto formal de la misma. "Entender los motivadores personales y profesionales de tu audiencia te ayuda a aterrizar de forma más sucinta cualquier mensaje o contenido que estés presentando hacia arriba", añade.
A menudo, tener un contexto o abordar temas fuera de los canales formales ayuda a crear una relación y garantiza que su contenido sea adecuado y se relacione con aquellos a los que quiere influir o impactar. Esto es algo con lo que Watts está de acuerdo. "Esto es la gestión de las partes interesadas 101: Investiga a tu junta directiva, entiende sus motivaciones y encuentra aliados en la sala de juntas, especialmente aquellos que no son técnicos y que pueden ayudarte a probar los argumentos con antelación". A la hora de conseguir la aprobación de los casos empresariales, hay que dividir y conquistar: hay que presentar los proyectos complicados o de gran envergadura a cada uno de ellos por separado y resolver los problemas con antelación", afirma.
Los CISO pueden aprovechar los resultados de estas conversaciones para aislar las voces discordantes con el consenso de los demás. "Haz que todos sientan que han contribuido", dice Watts. "Tienes que ser político, vendedor, gestor de cuentas, casamentero y mediador".
