La ciberseguridad es un tema importante. Por lo tanto, la supervisión de la junta es fundamental para una mitigación efectiva. Sin embargo, según una encuesta reciente de la Asociación Nacional de Directores Corporativos (NACD), menos del 15% de los directores expresan alta satisfacción con la información sobre ciberseguridad que proporciona la gestión. Aquí hay algunos consejos para mejorar las discusiones a nivel de junta sobre ciberseguridad.

Lo que necesita su junta

Las juntas ofrecen supervisión estratégica mientras que la gestión se encarga de la ejecución, lo que incluye la gestión de riesgos cibernéticos. Independientemente de la industria, las regulaciones o el alcance geográfico, las juntas generalmente buscan que la gestión traduzca los detalles técnicos en términos de negocio, destacando riesgos, oportunidades e implicaciones estratégicas.

Aquí hay preguntas que los miembros de la junta deben hacer a los CISOs (y las preguntas que los CISOs deben poder responder claramente):

1. ¿Cuál es nuestro apetito de riesgo cibernético?

2. ¿Cuáles son las métricas más importantes que usamos para monitorear y evaluar el riesgo para la empresa?

3. ¿Cuál es el caso de negocio para la ciberseguridad? Dicho de otra manera, ¿cómo puede la ciberseguridad habilitar otras funciones empresariales en toda la organización?

4. ¿Cuáles son los niveles de riesgo interno y externo?

5. ¿Cómo medimos la efectividad del programa de ciberseguridad de nuestra organización y cómo se compara con los de otras empresas? Por ejemplo, ¿cómo seguimos la conciencia de ciberseguridad en toda la organización a través de indicadores como el cumplimiento de políticas, la implementación y finalización de programas de capacitación?

6. ¿Cómo evaluamos la posición de riesgo cibernético de nuestros proveedores, vendedores, socios de empresas conjuntas y clientes?

7. ¿Cuánto de nuestro presupuesto de TI se gasta en actividades relacionadas con la ciberseguridad? ¿Cómo se compara esta asignación con nuestros competidores u otros puntos de referencia externos?

8. ¿Cuántos incidentes de datos ha experimentado la organización en el último período de informe? Entrando en los detalles, ¿cuáles son las tendencias críticas, patrones y causas raíces?

9. ¿Cuál es la amplitud y profundidad de las actividades de monitoreo cibernético operativo de la compañía? ¿Hay áreas que no estamos monitoreando y, de ser así, por qué no?

Cómo proporcionar métricas a nivel de junta

Una vez que haya identificado lo que su junta necesita saber sobre ciberseguridad, es hora de compartir información esencial y datos de apoyo. Los miembros de la junta buscan una visión general del estado de ciberseguridad de la organización y el impacto empresarial de los riesgos cibernéticos. En lugar de detalles técnicos excesivos o métricas operativas, debe centrarse en los puntos clave.

Aquí hay principios a tener en cuenta cuando prepare reportes para la junta:

1. Asegúrese de que cualquier dato que comparta sea relevante para el contexto empresarial de la organización y que pueda ser comprendido por la audiencia.

2. ¡Sea conciso! Evite proporcionar demasiada información. Elimine la jerga técnica.

3. Los gráficos son sus amigos. Minimice el texto incluyendo gráficos y visuales para transmitir sus puntos clave.

4. Comunique conocimientos sobre lo que significan los datos. Las métricas deben incluir análisis de cambios, tendencias y patrones a lo largo del tiempo, mostrar el rendimiento relativo e indicar el impacto.

5. Recuerde siempre que los informes a nivel de junta deben permitir la discusión estratégica y el diálogo entre los directores y la alta gerencia.

Las amenazas cibernéticas son reales, y los inversionistas, ejecutivos y miembros de la junta pueden trabajar juntos para mitigarlas.