No dejes el ciberespacio para el próximo
Jefe del chivo expiatorio
Jefe del chivo expiatorio
Se ha dado el pistoletazo de salida. Según Gartner, 50% de la C-suite tendrán requisitos de rendimiento relacionados con el riesgo cibernético incorporados en sus contratos para 2026. Por fin se está considerando el ciberriesgo desde la perspectiva de la gestión de riesgos organizativos, en lugar de como un problema de TI. Adelántese a los acontecimientos y comience con una sólida estrategia de evaluación de los riesgos cibernéticos y evite tener que luchar para identificar a su próximo chivo expiatorio.
La mayoría de los consejos de administración no tienen formación en TI. Sólo una fracción de los consejeros independientes del S&P 500 tiene experiencia al frente de empresas de ciberseguridad, TI, ingeniería de software o análisis de datos. Ese 4% también se limita a las empresas centradas en la tecnología. En consecuencia, la demanda de experiencia en riesgos cibernéticos y de seguridad para los miembros de los consejos de administración está aumentando drásticamente.
La cibernética debe ser el número uno de la agenda y tratarse al menos una vez al trimestre. La cibernética es una preocupación del consejo de administración. Tal vez no puedas satisfacer plenamente al consejo, pero puedes asegurarte de que no quede insatisfecho en caso de ataque.
Esencialmente, usted quiere que su audiencia ejecutiva no piense negativamente de su programa de ciberseguridad.
¿Cómo puede asegurarse de ello?
Qué pueden/deben hacer los CISO
En la actualidad, existe un desajuste entre la formación de los miembros de un consejo de administración y la de un CISO, que se extiende a un delta en el lenguaje y la terminología.
Como CISO, nunca debes ponerte demasiado técnico con tu equipo de liderazgo, ya que simplemente te ignorarán. En su lugar, comuníquese contando historias y demuestre cómo otras empresas de sectores similares se han enfrentado a problemas de ciberseguridad y qué hicieron al respecto con éxito y sin éxito. Otro punto sería demostrar el cambiante panorama de las amenazas. Destaque el riesgo de reputación, financiero, normativo y jurídico que está en juego.
Lo que quiere es que el consejo de administración dé prioridad a la cultura de la ciberseguridad. Consigue una declaración formal de apoyo de la cúpula directiva y tu ámbito de autoridad aumentará.
Articular una estrategia de ciberseguridad es fundamental como CISO. Pero también debe corresponder al Consejo establecer la cultura de seguridad adecuada.
Creación de un marco sólido para los riesgos cibernéticos
Un Marco de Riesgo Cibernético exitoso debe cubrir los siguientes elementos clave.
Ciberriesgos y respuestas: Exponga las principales vulnerabilidades de riesgo de la organización, como el ransomware, la privacidad de los datos, el compromiso de terceros, el compromiso del correo electrónico y el phishing.
- Como CISO, demuestre lo que está haciendo actualmente para mitigar el riesgo, la probabilidad de que ocurra, el impacto en caso de que ocurra, lo que la función está haciendo para prevenirlo, y proporcione un escenario de cuánto podría costar solucionar una brecha.
- Identificar los principales riesgos cibernéticos y demostrar las respuestas a cada uno de ellos. Reconozca la existencia del riesgo y los índices de respuesta. Si el equipo de liderazgo ejecutivo no está satisfecho, esta es una buena oportunidad, destaque un marco sólido de riesgos cibernéticos con más recursos o proveedores de seguridad para demostrar cómo el riesgo puede reducirse significativamente o automatizarse, creando así una decisión empresarial sólida.
Cibermetría táctica: Analizar las amenazas, la situación, las tendencias y los objetivos.
- Tecnología: lo rápido que se tarda en hacer los parches y lo que se puede hacer para escalarlos.
- Personas: registre las tasas de clics e informes. Analice los ejercicios de phishing de sus homólogos del sector para comparar sus resultados.
- Procesar el riesgo de terceros mediante pen testing. Identifique qué porcentaje de aplicaciones críticas funcionaron adecuadamente durante la recuperación ante desastres y la continuidad del negocio.
- Entorno: lo que está fuera de la organización y no se puede controlar, pero que tiene un impacto significativo. Puede tratarse de nuevas leyes cibernéticas, defraudadores y actores maliciosos.
Hojas de ruta
- Identificar programas e iniciativas estratégicas de alto perfil. Articular y demostrar un plan sólido para los próximos años que pueda revisarse por etapas.
- Proporcionar una visión general de los próximos tres años basada en las prioridades actuales. Esto puede incluir el lanzamiento de un programa de recompensas por fallos, la actualización de cortafuegos, herramientas de protección contra botnets, gestión de vulnerabilidades, cursos personalizados y formación interna.
Evaluación de la madurez cibernética
- Realice una evaluación comparativa del programa contratando a una empresa auditora externa independiente para que evalúe su rendimiento en el panorama competitivo con sus homólogos.
- Ponga en práctica las conclusiones de la evaluación independiente sobre las principales actividades para mejorar las mediciones de puntuación en las principales prioridades.
- Indique cuándo se mejorarán o corregirán.
Conclusión
Su objetivo como CISO es mantener bien informado al equipo de liderazgo ejecutivo y responsabilizar a los ejecutivos de nivel C de la financiación y el mantenimiento de sus iniciativas de ciberseguridad.
La Junta también debe garantizar la integración satisfactoria de las medidas de ciberseguridad en beneficio de todos los accionistas implicados.
La solidaridad, la transparencia y la confianza son fundamentales en todas las funciones para poder responder con rapidez y decisión en el cambiante panorama actual de las amenazas.
