La ciberseguridad es un tema importante. Por lo tanto, la supervisión de la junta es fundamental para una mitigación eficaz. Sin embargo, según una reciente encuesta de la National Association of Corporate Directors (NACD) encuesta, menos del 15% de los directores expresan una alta satisfacción con la información de ciberseguridad que la gerencia proporciona. Aquí hay algunos consejos para mejorar las conversaciones a nivel de junta sobre ciberseguridad.

Lo que necesita su junta directiva

Las juntas directivas ofrecen supervisión estratégica mientras la gerencia se encarga de la ejecución, lo que incluye la gestión del riesgo cibernético. Independientemente de la industria, las regulaciones o la presencia geográfica, las juntas generalmente buscan de la gerencia una traducción de los detalles técnicos a términos de negocio, destacando riesgos, oportunidades e implicaciones estratégicas.

Aquí hay preguntas que los miembros de la junta deberían hacer a los CISOs (y las preguntas que los CISOs deberían poder responder con claridad):

1. ¿Cuál es nuestro apetito de riesgo cibernético?

2. ¿Cuáles son las métricas más importantes que usamos para monitorear y evaluar el riesgo para la empresa?

3. ¿Cuál es el caso de negocio para la ciberseguridad? Dicho de otro modo, ¿cómo puede la ciberseguridad habilitar otras funciones de negocio en toda la empresa?

4. ¿Cuáles son los niveles de riesgo interno y externo?

5. ¿Cómo medimos la efectividad de nuestro programa de ciberseguridad y cómo se compara con el de otras empresas? Por ejemplo, ¿cómo hacemos seguimiento de la concientización en ciberseguridad en toda la organización a través de indicadores como el cumplimiento de políticas, la implementación y la finalización de programas de capacitación?

6. ¿Cómo evaluamos la posición de riesgo cibernético de nuestros proveedores, vendedores, socios de empresas conjuntas y clientes?

7. ¿Cuánto de nuestro presupuesto de TI se gasta en actividades relacionadas con ciberseguridad? ¿Cómo se compara esta asignación con la de nuestros competidores u otros puntos de referencia externos?

8. ¿Cuántos incidentes de datos ha experimentado la organización en el último período de reporte? Entrando en los detalles, ¿cuáles son las tendencias, patrones y causas raíz críticas?

9. ¿Cuál es la amplitud y profundidad de las actividades de monitoreo de ciberseguridad operativa de la empresa? ¿Hay áreas que no estamos monitoreando y, de ser así, por qué no?

Cómo proporcionar métricas a nivel de junta directiva

Una vez que hayas identificado lo que tu junta directiva necesita saber sobre ciberseguridad, es momento de compartir conocimientos esenciales y datos de respaldo. Los miembros de la junta buscan una visión general del estado de ciberseguridad de la organización y del impacto empresarial de los riesgos cibernéticos. En lugar de demasiados detalles técnicos o métricas operativas, debes centrarte en los puntos clave.

Estos son principios que debes tener en cuenta cuando prepares informes para la junta:

1. Asegúrate de que cualquier dato que compartas sea relevante para el contexto empresarial de la organización y que la audiencia pueda comprenderlo.

2. ¡Sé conciso! Evita proporcionar demasiada información. Elimina la jerga técnica.

3. Las gráficas son tus aliadas. Minimiza el texto incluyendo gráficos y elementos visuales para transmitir tus puntos clave.

4. Comunica conocimientos sobre lo que significan los datos. Las métricas deben incluir análisis de cambios, tendencias y patrones a lo largo del tiempo, mostrar el rendimiento relativo e indicar el impacto.

5. Recuerda siempre que los informes a nivel de junta directiva deben facilitar la discusión estratégica y el diálogo entre los directores y la alta gerencia.

Las amenazas cibernéticas son reales, y los inversionistas, ejecutivos y miembros de la junta pueden trabajar juntos para mitigarlas.