¿Por qué las juntas corporativas no están preparadas para manejar los riesgos de seguridad cibernética?


Un nuevo informe recomienda que las juntas corporativas respondan regularmente a cuatro preguntas clave para guiar la gobernanza de la seguridad cibernética.

¿Por qué las mentes militares deberían ocupar puestos de seguridad cibernética en juntas corporativas?
Un experto en ciberseguridad de la Marina de los EE. UU. Cree que el own militar comprende el riesgo operacional y debe ser nombrado miembro de las juntas corporativas.

No hay un tablero de instrumentos o métricas establecidas para administrar la ciberseguridad. los superficie de ataque es tan amplio y las amenazas potenciales se mueven tan rápido que las reglas tradicionales no se aplican. Los miembros de la junta corporativa y los CISO no solo tienen que correr para mantenerse al día con un objetivo en movimiento, sino que necesitan un enfoque completamente nuevo para comprender el problema.

Booz Allen Hamilton y El Centro para la Ciberseguridad a largo plazo (CLTC) en la Universidad de California, Berkeley podría tener la respuesta en un nuevo informe, «Consideraciones para la supervisión efectiva del riesgo cibernético». Bill Phelps, vicepresidente ejecutivo, líder comercial comercial, Booz Allen Hamilton y Ann Cleaveland, directora ejecutiva del CLTC, y Steve Weber, director de la facultad del CTLC, escribieron el informe.

Durante el verano de 2019, el equipo entrevistó a 20 miembros de la junta corporativa de servicios de comunicación, bienes de consumo, industria financiera, atención médica, servicios públicos, tecnología de la información y bienes raíces. El objetivo era evaluar sus creencias, prácticas y aspiraciones sobre la gobernanza de la ciberseguridad.

VER: Cómo conseguir usuarios a bordo con medidas de seguridad esenciales (PDF free of charge)

Los miembros de la junta dijeron que la seguridad cibernética es un riesgo existencial para las empresas y quieren entender el problema porque los problemas están creciendo más rápido de lo que se están resolviendo.

El informe recomienda definir una postura de seguridad que refleje las prioridades y las tolerancias de riesgo de una empresa. Las juntas corporativas deben usar una lista de cuatro preguntas de «tensiones dinámicas» para hacer esto y revisar la lista con frecuencia para medir los cambios en el riesgo, la regulación y la experiencia interna.
Los CISO necesitan desarrollar una relación de trabajo profunda con los miembros de la junta y encontrar nuevas formas de educarlos sobre los riesgos actuales y los futuros. Los CISO deberían trabajar con la junta para responder estas cuatro preguntas:

1. ¿Cuál es nuestro modelo de riesgo typical para gobernar la ciberseguridad?
2. ¿Dónde, cómo y cuándo accedemos a la experiencia para comprender los riesgos?
3. ¿Es la colaboración o la competencia nuestro enfoque preferido con socios de la industria?
4. ¿Cómo compartimos e intercambiamos información sobre cibernética con la administración y el CISO?

La clave es hacer y responder estas preguntas con frecuencia para «multiplicar las ventajas y reducir los riesgos» del enfoque de una empresa para administrar la seguridad. El informe encontró que no hay una respuesta correcta a las preguntas y que la mejor respuesta cambia con el tiempo:

«No hay puntos de aterrizaje óptimos que puedan calcularse dado un conjunto conocido de parámetros. Las tensiones dinámicas son, de hecho, dinámicas, ya que los términos de las compensaciones relevantes son
en movimiento. Articulamos las fortalezas y debilidades más destacadas asociadas con elecciones particulares a lo largo de cada una de las tensiones «.

El informe recomienda que las juntas corporativas usen este marco para supervisar y gobernar la ciberseguridad en la empresa en este momento y a medida que surgen nuevas amenazas y regulaciones.

El Centro para la Ciberseguridad a largo plazo es un centro de investigación y colaboración que ayuda a las personas y organizaciones a abordar los desafíos de seguridad de la información del mañana para ampliar la ventaja de la revolución electronic.

Ver también

screen-shot-2020-01-15-at-6-58-39-am.png

Las juntas corporativas y los CISO deberían utilizar cuatro preguntas para definir un enfoque de gobernanza para gestionar el riesgo de ciberseguridad, según un nuevo informe del Centro para la Ciberseguridad a largo plazo y Booz Allen Hamilton.

Imagen: Centro de ciberseguridad a largo plazo



Enlace a la noticia initial