Asegurar el éxito: Hablar con la Junta sobre el riesgo cibernético

El riesgo cibernético en todos los niveles empresariales influye en las operaciones, la reputación y el cumplimiento. La ciberseguridad es un asunto importante. Por lo tanto, la supervisión del consejo es fundamental para una mitigación eficaz.

Sin embargo, según una reciente encuesta de la Asociación Nacional de Directores de Empresas (NACD) , menos del 15% de los directores expresan un alto grado de satisfacción con la información sobre ciberseguridad que proporciona la dirección. He aquí algunos consejos para mejorar los debates sobre ciberseguridad en los consejos de administración.

Lo que necesita su consejo

Los consejos ofrecen supervisión estratégica, mientras que la dirección se encarga de la ejecución, lo que incluye la gestión del riesgo cibernético. Independientemente del sector, la normativa o el ámbito geográfico, los consejos suelen pedir a la dirección que traduzca los detalles técnicos en términos empresariales, destacando los riesgos, las oportunidades y las implicaciones estratégicas.

Estas son las preguntas que los miembros de la junta directiva deberían hacer a los CISO (y las preguntas que los CISO deberían poder responder con claridad):

1. ¿Cuál es nuestra tolerancia al ciberriesgo?
2. ¿Cuáles son las métricas más importantes que utilizamos para controlar y evaluar el riesgo para la empresa?
3. ¿Cuál es el interés comercial de la ciberseguridad? Dicho de otro modo, ¿cómo puede la ciberseguridad facilitar otras funciones de la empresa?
4. ¿Cuáles son los niveles de riesgo interno y externo?
5. ¿Cómo medimos la eficacia del programa de c iberseguridad de nuestra organización y cómo se compara con los de otras empresas? Por ejemplo, ¿cómo hacemos un seguimiento de la concienciación en materia de ciberseguridad en toda la organización a través de indicadores como el cumplimiento de las políticas, la aplicación y la finalización de los programas de formación?
6. ¿Cómo evaluamos la posición de riesgo cibernético de nuestros proveedores, vendedores, socios de empresas conjuntas y clientes?
7. ¿Qué parte de nuestro presupuesto de TI se destina a actividades relacionadas con la ciberseguridad? ¿Cómo se compara esta asignación con la de nuestros competidores u otras referencias externas?
8. ¿Cuántos incidentes de datos ha experimentado la organización en el último periodo de notificación? Entrando en detalles, ¿cuáles son las tendencias críticas, los patrones y las causas fundamentales?
9. ¿Cuál es la amplitud y profundidad de las actividades de supervisión de la ciberseguridad operativa de la empresa? ¿Hay áreas que no estemos supervisando y, en caso afirmativo, por qué?

Cómo proporcionar métricas a nivel directivo

Una vez que haya identificado lo que su junta directiva necesita saber sobre ciberseguridad, es hora de compartir las ideas esenciales y los datos de apoyo. Los miembros del consejo buscan una visión general del estado de la ciberseguridad de la organización y del impacto empresarial de los riesgos cibernéticos. En lugar de excesivos detalles técnicos o métricas operativas, debe centrarse en los puntos clave.

Estos son los principios que debe tener en cuenta cuando prepare informes para el consejo:

1. Asegúrese de que todos los datos que comparte son relevantes para el contexto empresarial de la organización y de que la audiencia puede entenderlos.
2. Sea conciso. Evite dar demasiada información. Elimine la jerga técnica.
3. Los gráficos son tus amigos. Minimiza el texto incluyendo gráficos y elementos visuales para transmitir tus puntos clave.
4. Informar sobre el significado de los datos. Las métricas deben incluir análisis de cambios, tendencias y patrones a lo largo del tiempo, mostrar el rendimiento relativo e indicar el impacto.
5. Recuerde siempre que los informes del consejo de administración deben permitir el debate estratégico y el diálogo entre los consejeros y la alta dirección.

Las ciberamenazas son reales, y los inversores, ejecutivos y miembros de los consejos de administración pueden colaborar para mitigarlas.