Cómo se genera confianza en la ciberseguridad
Cómo ganarse la confianza del consejo de administración
Mantener informado al consejo de administración es de vital importancia; pero, en muchos casos, los directores de seguridad de la información (CISO, por sus siglas en inglés) solo lo hacen a posteriori. No hay que olvidar que es precisamente el consejo el que tiene la última palabra en las decisiones de la organización, por lo que los profesionales de la seguridad deben mantenerlo al corriente. Pero comunicar incidentes de seguridad (como la the vulnerabilidad Log4j), presentar solicitudes en función de los requisitos normativos o responder a preguntas sobre una brecha que se haya producido en el mismo sector no deberían ser las únicas ocasiones en que los CISO se reúnen con los directivos.
Muy al contrario, los profesionales de la seguridad deberían estar en contacto permanente con el consejo de administración, manteniéndolo informado y estableciendo una relación de confianza mutua. A fin de cuentas, colaborar con él contribuye a mejorar la estrategia de seguridad, algo que todos necesitamos.
El papel del consejo de administración como la cuarta línea de defensa
Aunque a veces se considera que el consejo de administración es un colectivo más ante el que los responsables de seguridad deben rendir cuentas, este grupo de mando puede desempeñar un papel mucho más importante.
El consejo de administración puede y debe considerarse como la cuarta línea de defensa de la seguridad de una empresa. La primera línea de defensa la constituyen las operaciones y funciones de seguridad cotidianas gestionadas por el personal operativo que se encarga de clasificar las incidencias. La segunda línea de defensa es lo que llamamos «la función de cibergobernanza», y la tercera es la función de auditoría interna y elaboración de informes. La cuarta línea de defensa está formada, pues, por el consejo de administración. Es crucial que estas cuatro líneas de defensa mantengan una comunicación fluida para evitar los vacíos de información y cohesionar las operaciones de ciberseguridad.
Cómo establecer una relación de confianza con el consejo de administración
Para que el consejo de administración se comprometa con la seguridad y actúe como una eficaz cuarta línea de defensa, es necesario forjar una relación de confianza mutua. Con este fin, los profesionales de la seguridad deben velar por lo que de verdad importa al consejo, a saber, estos tres elementos principales:
Protección de la marca. Asegúrese de que la marca de la organización está protegida desde el punto de vista de la propiedad intelectual, el secreto comercial y la reputación.
Rentabilidad. Es necesario disponer de los controles de seguridad adecuados para garantizar la rentabilidad de la empresa.
Gestión de riesgos. Elija bien qué comunicar al consejo de administración para que sean conscientes de cómo puede verse afectado el negocio por las amenazas de ciberseguridad.
Un buen aliciente: la rentabilidad de la inversión en seguridad (ROSI)
A la hora de hablar con el consejo de administración, es importante asegurarse de que todo el mundo se entiende. Es bien sabido que los miembros de los consejos de administración no suelen ser expertos en ciberseguridad. De ahí que muchas veces los CISO no sepan muy bien qué nivel de tecnicismos utilizar y, en ocasiones, incluso eviten compartir cierta información técnica porque realmente no saben cómo transmitirla a directivos sin conocimientos en la materia.
A menudo, los CISO hacen hincapié en los elementos técnicos, pero no logran comunicar el riesgo desde un punto de vista empresarial que el consejo de administración entienda. La clave para comunicarse con la junta directiva es mantener su interés y hacerles ver esos riesgos de forma efectiva pero sin asustarles.
En Unit 42, para hablar de la rentabilidad de la inversión en seguridad utilizamos el término «ROSI». Es muy importante que los CISO expliquen en términos financieros por qué ciertas inversiones cruciales para la seguridad lo son también para la rentabilidad de la inversión, en función de qué activos se están protegiendo y cómo. El ROSI también debe explicar qué gana la organización con la madurez objetiva de seguridad, y no la madurez subjetiva.
El marco de Unit 42 para informar de los riesgos al consejo de administración
Una de las principales responsabilidades de un CISO ante el consejo de administración es comunicar el riesgo de forma proactiva y efectiva. El grupo Unit 42® de Palo Alto Networks ha desarrollado un marco para ello que abarca los siguientes pasos y elementos clave:
Inventario. No se puede proteger lo que no se sabe que se tiene, por lo que es imprescindible tener un inventario de todos los activos informáticos
Identificación de los activos clave. Detecte e identifique los activos más importantes, ya sean datos sueltos, aplicaciones o infraestructuras específicas. Conocer los activos clave para la empresa resulta crucial.
Evaluación de las herramientas de seguridad. La organización debe ser consciente de lo bien o mal que está utilizando las herramientas de seguridad que tiene para proteger esos activos clave.
Evaluación de la capacidad de respuesta a incidentes. Si un incidente afecta a los activos clave de la organización, hay que estar preparado para responder de forma eficaz y eficiente.
Pruebas y validación. Se deben conocer las herramientas y la capacidad de respuesta a incidentes. Es crucial probar y validar cuál sería la capacidad de respuesta si los activos clave sufrieran un ataque.
Reunión con el consejo de administración para informarlo de la resiliencia de la organización. El último paso de este marco es comunicar al consejo de administración qué nivel de resiliencia tiene la organización frente a posibles riesgos. Procure ofrecerle resultados útiles y objetivos a partir del análisis y explicarlos de forma que entiendan cómo afectan al negocio.
Elaboración de informes: use parámetros proactivos
Con frecuencia vemos que, para mostrar los progresos, las organizaciones comunican sobre todo los parámetros operativos del centro de operaciones de seguridad (SOC, por sus siglas en inglés), como el número de ataques, alertas, incidentes cerrados o sistemas operativos que presentan vulnerabilidades. Pero, en realidad, eso no es suficiente para hacerse una idea de los riesgos de ciberseguridad. Esos parámetros del SOC proporcionan indicadores con retardo que dan lugar a medidas correctivas de tipo reactivo.
Por ello, recomendamos a los directores de seguridad de la información presentar indicadores que fomenten las iniciativas de seguridad proactivas.Un buen ejemplo de parámetro proactivo sería el número de terceros o recursos de gestión de riesgos de la cadena de suministro que se han evaluado en los últimos 12 meses. Este parámetro muestra no solo cuántos recursos de alto riesgo hay en la cadena de suministro, sino también hasta dónde es capaz de llegar la empresa para validar la seguridad de esos recursos de terceros.
Recomendaciones para garantizar el éxito de la comunicación entre los CISO y los consejos de administración
Forjar una relación de trabajo sólida con el consejo de administración lleva tiempo, pero el primer paso es sentar las bases de esa relación. Es importante conocer a los miembros del consejo y entender qué es lo que les preocupa en términos de riesgo empresarial. Saber cuáles son sus prioridades es la única manera de poder comunicarles cómo se están protegiendo sus intereses en lo que respecta a los activos y las necesidades de la empresa.
Además, a la hora de informar al consejo de administración es necesario adoptar un enfoque basado en los datos. Evite la subjetividad en la medida de lo posible, ya que se trata de exponer hechos objetivos. Pero esto no significa que pueda limitarse a leer diapositivas llenas de números, algo que tampoco resultaría eficaz. Lo que funciona es crear un relato, porque a los miembros del consejo les gusta conocer la introducción, el nudo, el punto álgido y el desenlace. Así que no se limite a presentar los datos y explique lo que hay detrás.
Y recuerde siempre que el consejo de administración es parte de la solución, porque es la cuarta línea de defensa. Así pues, de lo que se trata es de fomentar una cultura de empoderamiento en la que los líderes de toda la organización comprendan que la seguridad es responsabilidad de todos.