Las juntas directivas están manteniendo conversaciones equivocadas sobre ciberseguridad

Los titulares destacan cada vez más las consecuencias de las malas prácticas de ciberseguridad. Los miembros de la junta con experiencia en ciberseguridad están intentando llamar la atención de sus compañeros. Y los miembros de la junta quieren supervisar, aunque no tengan las preguntas correctas que hacer. Las juntas directivas deben analizar los riesgos inducidos por la ciberseguridad en su organización y evaluar los planes para gestionarlos. Con las conversaciones adecuadas sobre cómo mantener la resiliencia de la empresa, pueden dar el siguiente paso para proporcionar una supervisión adecuada de la ciberseguridad.

••• Las juntas directivas que tienen dificultades con su función de supervisar la ciberseguridad crean un problema de seguridad para sus organizaciones. A pesar de que las juntas dicen que la ciberseguridad es una prioridad, les queda un largo camino por recorrer para ayudar a sus organizaciones a ser resilientes ante los ciberataques. Y al no centrarse en la resiliencia, los consejos de administración fallan a sus empresas. Encuestamos a 600 miembros de la junta sobre sus actitudes y actividades en torno a la ciberseguridad. Nuestra investigación muestra que, a pesar de las inversiones de tiempo y dinero, la mayoría de los directores (el 65%) siguen creyendo que sus organizaciones corren el riesgo de sufrir un ciberataque material en los próximos 12 meses y casi la mitad cree que no están preparados para hacer frente a[un ataque dirigido](https://www.proofpoint.com/us/resources/white-papers/board-perspective-report). Lamentablemente, esta creciente conciencia sobre el ciberriesgo no está impulsando una mejor preparación. En este artículo detallamos varias formas en que las empresas pueden empezar a desarrollar una mayor conciencia sobre la ciberseguridad. ## Faltan interacciones de la junta con el CISO Solo el 69% de los miembros de la junta que respondieron están de acuerdo con sus directores de seguridad de la información (CISO). Menos de la mitad (el 47%) de los miembros forman parte de los consejos de administración que interactúan con sus CISO de forma habitual, y casi un tercio de ellos solo ven a sus CISO en las presentaciones de los consejos. Esto significa que los directores y los líderes de seguridad no pasan suficiente tiempo juntos como para mantener un diálogo significativo sobre las prioridades y estrategias de ciberseguridad. Además, nuestra investigación reveló que, si bien el 65% de los miembros del consejo de administración piensan que su organización corre el riesgo de sufrir un ciberataque material, solo el 48% de los CISO comparten esa opinión. Esta brecha de comunicación y la desalineación entre la junta y el CISO dificultan el progreso en la ciberseguridad. Nuestros hallazgos sugieren que la desconexión entre la junta de CISO y la junta directiva se ve agravada por su falta de familiaridad a nivel personal (no pasan suficiente tiempo juntos para conocerse y conocer sus actitudes y prioridades de una manera productiva). También contribuye a esta desconexión la dificultad del CISO para traducir la jerga técnica al lenguaje empresarial, como el riesgo, la reputación y la resiliencia. Para forjar asociaciones estratégicas con los CISO, la participación del director y el CISO entre las reuniones del consejo permitiría a los directores hacer mejores preguntas y entender las respuestas que reciben. ## Las juntas directivas se centran en la protección cuando tienen que centrarse en la resiliencia A pesar del alto riesgo percibido, nuestra encuesta reveló que el 76% de los miembros del consejo de administración creen haber realizado las inversiones adecuadas en ciberprotección. Además, el 87% espera que sus presupuestos de ciberseguridad aumenten en los próximos 12 meses. Sin embargo, es posible que sus inversiones no estén en las áreas correctas. En una reunión típica del consejo de administración, las presentaciones sobre ciberseguridad suelen tratar las amenazas y las acciones o tecnologías que la empresa implementa para protegerse de ellas. Por ejemplo, en muchas reuniones del consejo de administración, el tema principal es la frecuencia con la que la empresa realiza una prueba de suplantación de identidad y los resultados estadísticos. Para nosotros, esa es una perspectiva equivocada para la supervisión de la junta. Sabemos que no podemos estar completamente protegidos, sin importar cuánto dinero invirtamos en tecnologías o programas para detener los ciberataques. Si bien es fundamental gastar recursos para proteger nuestros activos, limitar las conversaciones a la protección nos prepara para el desastre. En cambio, la conversación debe centrarse en la resiliencia. Debemos suponer, con fines de planificación, que sufriremos algún tipo de ciberataque y preparar a nuestras organizaciones para responder y recuperarse con un daño, coste e impacto en la reputación mínimos. Por ejemplo, en lugar de entrar en detalles en una reunión del consejo de administración sobre la forma en que nuestra organización está configurada para responder a un incidente, debemos centrarnos en cuál podría ser el mayor riesgo y en cómo estamos preparados para recuperarnos rápidamente de los daños en caso de que se produzca esa situación. Para cambiar su enfoque hacia la resiliencia como objetivo principal de la ciberseguridad, los directores podrían pedir a sus líderes operativos que creen una visión de la forma en que la empresa responderá y se recuperará en caso de que se produzca un ataque. Minimizar la posibilidad de un ciberataque exitoso en primer lugar solo debería ser el objetivo secundario. ## Las juntas ven la ciberseguridad como un tema técnico, pero se ha convertido en un imperativo organizativo y estratégico Solo el 67% de los miembros de la junta cree que el error humano es su mayor vulnerabilidad cibernética, aunque las conclusiones del Foro Económico Mundial indican que los errores humanos representan el 95% de[incidentes de ciberseguridad](https://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2022.pdf). Esto podría ser un indicador de que algunas juntas directivas no ven el riesgo organizacional al que se enfrentan. Además, la mitad de los participantes de la encuesta es lo que más valora la experiencia en ciberseguridad de los CISO, seguida de la experiencia técnica (44%) y la gestión de riesgos (38%). Esto sugiere que, aunque los temas de ciberseguridad hayan figurado en la agenda, la junta sigue considerándolos temas técnicos. Cuando las juntas directivas ven la ciberseguridad solo como un tema técnico, se convierte en un tema demasiado operativo como para abordarlo en sus reuniones. El tiempo es limitado en las reuniones de la junta, lo que dificulta cubrir todos los matices necesarios para una supervisión adecuada. Es posible que los directores eviten hacer preguntas difíciles porque piensan que no tienen los conocimientos suficientes sobre los conceptos técnicos como para articular correctamente la pregunta o incluso para entender la respuesta. Ver la ciberseguridad como una cuestión organizacional hace que el debate pase de ser un desafío técnico a uno de gestión. Cuando la ciberseguridad se considera un imperativo estratégico de la organización, pasa a ser relevante para el debate a nivel de junta. Las juntas deberían hacer preguntas como: «¿Cuál es el riesgo técnico para nuestra empresa a causa de los posibles incidentes de ciberseguridad?» «¿Qué vamos a hacer para atenuar los daños que se deriven de la realización de ese riesgo?» «¿Cuál es el riesgo organizativo de los posibles ciberincidentes y qué estamos haciendo para recuperarnos rápidamente de las consecuencias?» Y: «¿Cuál es el riesgo en la cadena de suministro derivado de posibles incidentes de ciberseguridad y qué estamos haciendo al respecto para no perder ni un día de producción?» ## La composición de la mayoría de las juntas directivas actuales crea una vulnerabilidad adicional cuando podría reforzar la supervisión Muchos consejos de administración que estudiamos están compuestos por ejecutivos muy experimentados, jubilados o no, que tienen una amplia experiencia en operaciones, finanzas, ventas y sus sectores. Pero pocos tienen conocimientos o experiencia en ciberseguridad. En 2022, la SEC propuso recomendaciones más explícitas para la gestión de los riesgos de ciberseguridad, la gobernanza y la divulgación para las empresas que cotizan en bolsa, y se espera que estas propuestas se conviertan en requisitos. Eso significa que las juntas directivas deben supervisar más claramente los riesgos de ciberseguridad e incluir en la junta experiencia explícita en ciberseguridad. Muchos exejecutivos fueron líderes antes del entorno de ciberseguridad actual y es posible que no aporten experiencia, ni siquiera un enfoque para adquirir esa experiencia, a sus consejos de administración. No es que sean ejecutivos inapropiados para servir como directores sin esa experiencia, pero el consejo debe desarrollar esta experiencia en su conjunto. Los directores deben aportar algo más que experiencia técnica a la sala de juntas. También deben entender el entorno, las estructuras financieras, las compensaciones y la cartera de riesgos empresariales. Encontrar nuevos miembros de la junta que aporten la combinación adecuada de experiencia en ciberseguridad y perspicacia empresarial es un desafío. Para llevar la experiencia en ciberseguridad a la sala de juntas, puede que sea necesario cambiar la composición de la junta. Es posible que los miembros de la junta necesiten adquirir experiencia en ciberseguridad a través de conversaciones frecuentes sobre los riesgos generados por la ciberseguridad, la formación y los programas de desarrollo, y añadir colegas con antecedentes empresariales y profesionales radicalmente diferentes a los de los miembros actuales de la junta. ## No demostrar que la ciberseguridad es una prioridad para la junta envía un mensaje no deseado Nuestra investigación reveló que casi una cuarta parte de las salas de juntas no consideran que la ciberseguridad sea una prioridad y muchas ni siquiera discuten el tema con regularidad. Algunas juntas directivas solo tienen una presentación sobre las actualizaciones de ciberseguridad al año y esa presentación normalmente se centra en el grado de protección de la organización. Eso no es adecuado. Hacer de la ciberseguridad una prioridad para la junta es un compromiso, no solo una actualización anual. Significa hablar de ello en cada reunión de la junta, recibir actualizaciones entre reuniones, hacer preguntas fuera de lo que se presenta y tener un interés personal (como estar seguros, plantear ciberpreguntas y/o compartir historias, convertir en héroes a quienes muestran los comportamientos que la junta quiere ver, etc.). Por ejemplo, ¿qué mensaje se enviaría a la dirección ejecutiva de la organización si, en cada reunión del consejo de administración, los miembros reconocieran a un «héroe» ejemplar que hubiera hecho algo personalmente para aumentar la resiliencia y la seguridad de la empresa? Por otro lado, si el tablero no mejora su juego al mostrarle lo importante que es la ciberseguridad para ellos, intencionalmente o no, está comunicando que la ciberseguridad no es una prioridad. Las acciones personales de los directores envían mensajes a los altos directivos. Al hacer de la ciberseguridad una prioridad personal mediante acciones e inversiones de tiempo y atención, los directores demuestran lo importante que es. Las juntas saben que deben hacer algo diferente. Las recomendaciones de la SEC codificarían ese conocimiento. Los titulares destacan cada vez más las consecuencias de las malas prácticas de ciberseguridad. Los miembros de la junta con experiencia en ciberseguridad están intentando llamar la atención de sus compañeros. Y los miembros de la junta quieren supervisar, aunque no tengan las preguntas correctas que hacer. Las juntas directivas deben analizar los riesgos inducidos por la ciberseguridad en su organización y evaluar los planes para gestionarlos. Con las conversaciones adecuadas sobre cómo mantener la resiliencia de la empresa, pueden dar el siguiente paso para proporcionar una supervisión adecuada de la ciberseguridad.