En los últimos años, los consejos de administración se han interesado más por conocer el nivel de riesgo de sus organizaciones y saber si el CISO (Chief Information Security Officer) y los equipos de seguridad están haciendo todo lo posible para defenderse de posibles amenazas.

De hecho, según la reciente encuesta 2021 de Gartner, las vulnerabilidades de ciberseguridad se identificaron como la segunda mayor fuente de riesgo para una empresa, sólo superada por el riesgo de cumplimiento normativo.

A medida que aumenta el interés por la ciberseguridad en los consejos de administración, los CISO deben estar preparados para hablar con sus consejos con regularidad para comunicar el nivel de riesgo al que se enfrentan sus organizaciones y concienciar sobre los tipos de medidas preventivas que se están tomando para reducir ese riesgo.

La necesidad de invertir preventivamente en ciberseguridad

Los CISO deben comunicar a la junta directiva que, aunque la organización cuente con las herramientas de seguridad adecuadas, el equipo de seguridad adecuado y los procesos actualizados, es posible que las vulnerabilidades no se descubran hasta que las organizaciones dispongan del tiempo y los recursos necesarios para investigar el incidente en sus propios sistemas.

Además, las soluciones instaladas en infraestructuras de TA y redes complejas, como IoT, pueden ser difíciles de actualizar sin que ello afecte a la actividad cotidiana. Las organizaciones suelen ejecutar software obsoleto, lo que puede dejar "puertas" abiertas a partes malintencionadas.

En consecuencia, la ciberseguridad preventiva es un pilar fundamental para que las organizaciones refuercen su postura protectora, identifiquen las amenazas desconocidas y se defiendan de las vulnerabilidades internas y externas.

Comunicación sobre ciberseguridad con los consejos de administración de las empresas

Para ayudar a capacitar a su junta a entender el riesgo de ciberseguridad de su organización a través de la seguridad de la información, los CISO deben estar preparados para abordar las siguientes áreas clave.

• Describa el tipo de evaluación de ciberseguridad que se realiza en la empresa

A menudo, los responsables de la seguridad informática empiezan por describir inmediatamente el nivel de riesgo de la organización, pero la recomendación es dar un paso atrás y empezar por describir qué tipo de evaluación de la ciberseguridad realizan los equipos de TI para identificar el riesgo en primer lugar.

Describa para la junta si la amenaza es algo fácil de definir e identificar, como una vulnerabilidad conocida, o algo más sofisticado, como una amenaza persistente avanzada.

Comente si se descubrió a través de pruebas de penetración rutinarias o si el equipo de seguridad estaba investigando una aplicación específica. Aborde la probabilidad de que la vulnerabilidad ya haya sido explotada. Si aún no ha sido explotada, discute la probabilidad de que tu organización sea objetivo de los ciberdelincuentes.

Las organizaciones que manejan datos altamente regulados o cuya propiedad intelectual es objeto de ataques son más propensas que otras. Estos antecedentes proporcionan un contexto importante para ayudar al consejo a comprender mejor la gravedad del riesgo al que se enfrenta la organización.

• Detallar el impacto potencial de las amenazas. 

También es importante no sólo describir el riesgo, sino también explicar al consejo el impacto potencial de ese riesgo para la empresa si llegara a explotarse. Una vulnerabilidad externa a la organización suele ser un problema más grave que una vulnerabilidad interna.

Pero los CISO también deben educar a la junta sobre cómo una vulnerabilidad interna relativamente pequeña puede ser aprovechada por los ciberdelincuentes para crear una amenaza mayor en el futuro.

Por ejemplo, los ciberdelincuentes inteligentes encadenarán vulnerabilidades, utilizando información de valor bajo o medio para acceder a datos de mayor valor, explotando las vulnerabilidades de acceso y autorización de los usuarios para ascender en la cadena.

Por eso es importante que los equipos de ciberseguridad exploren más a fondo la pila de seguridad al realizar pruebas de penetración, ya que esto les permite descubrir el impacto real de una vulnerabilidad al ver a qué datos y sistemas pueden acceder los atacantes.

• Identificar los procesos internos que pueden mitigar el riesgo. 

Cuando se debate el riesgo de ciberseguridad con la junta directiva, una pregunta frecuente a los CISO es si deben aceptar la calificación de riesgo asignada por un socio externo o, en su lugar, utilizar una calificación de riesgo determinada por el equipo de seguridad interno.

La recomendación es atenerse a la calificación de riesgo proporcionada por su socio externo. Esta calificación se basa en el análisis más limpio e independiente posible y proporciona una instantánea del riesgo real al que se enfrenta la organización antes de que el equipo de seguridad haya implantado controles compensatorios.

Los CISO deben destacar ante la junta los pasos que pueden darse para mitigar el riesgo en su entorno. También es importante entender que en muchos casos, aunque el riesgo puede haber sido mitigado, las condiciones originales que crearon esa vulnerabilidad en primer lugar pueden seguir existiendo en la organización.

Cada vez que la organización experimenta un cambio -por ejemplo, durante una fusión, una adquisición o al añadir un nuevo contratista externo-, el panorama cambia. Los controles de indemnización que se establecen para mitigar un riesgo hoy pueden no ser eficaces mañana.

Los CISO deben trabajar con el consejo para ayudar a los miembros a comprender otros factores, como los procesos organizativos o los comportamientos de los empleados, que afectan al riesgo.

• Aportar soluciones prácticas que se ajusten al presupuesto. 

A menudo, los proveedores de seguridad externos no sólo ayudan a identificar las vulnerabilidades y amenazas a la ciberseguridad a las que se enfrenta una organización, sino que también asesoran sobre cómo solucionar los problemas y recomiendan qué productos de protección comprar.

Los CISO deben recordar que son ellos quienes toman las decisiones en última instancia, y es su responsabilidad conocer su presupuesto y lo que será apropiado para el consejo de administración en su intento de controlar el gasto. Los CISO siempre deben llevar a cabo la diligencia debida e incluso considerar la posibilidad de contratar a una empresa externa que les ayude a realizar una evaluación independiente de los productos de seguridad para determinar lo que se necesita.

A menudo, las organizaciones no necesitan comprar los productos de seguridad empresarial más sofisticados, y puede que no tengan la formación o el nivel de experiencia adecuados en sus equipos de seguridad para mantener dichos productos.

Algunos riesgos comunes de ciberseguridad pueden solucionarse con un cambio en una clave del registro o con Active Directory. En otros casos, una organización puede obtener más valor y mejor protección de un servicio de seguridad gestionado.

Cuando hablen con sus consejos de administración y expongan las medidas correctoras que piensan adoptar, los CISO deben estar preparados para abordar cómo encajan en el presupuesto.

En última instancia, gran parte del debate en torno a los riesgos de ciberseguridad, las pruebas y los esfuerzos de corrección dependerá de la tolerancia al riesgo de la organización. Las que operan en sectores muy regulados tendrán una menor tolerancia al riesgo y estarán más dispuestas a asignar presupuesto para pruebas, supervisión y mitigación continuas.

Todos los CISO, independientemente del sector en el que operen, deben estar preparados para enfrentarse a un escrutinio cada vez mayor por parte de sus consejos de administración.

En su investigación, Gartner estimó que el 40% de los consejos de administración tendrán un comité dedicado a la ciberseguridad en los próximos cuatro años, lo que supone un aumento significativo respecto al menos del 10% actual.

Estar preparado para describir el tipo de estrategia de ciberseguridad existente, el impacto potencial en el negocio de los riesgos identificados y cómo se alinean estos esfuerzos con el presupuesto permitirá a los CISO dirigir su asesoramiento en la dirección correcta y reforzar la postura general de ciberseguridad de sus organizaciones.