Consejos prácticos para involucrar a la Junta en materia de ciberseguridad



Mejore su juego con la junta directiva de su empresa para ayudarlos a comprender sus prioridades de ciberseguridad.

Nunca ha habido un momento más difícil para ser un director de seguridad de la información (CISO). Desde el inicio de COVID-19 en marzo de 2020, los ciberataques aumentaron en un 92%, y la filtración de datos promedio ahora cuesta $ 3.86 millones, según IBM y el Ponemon Institute. Aún así, muchos CISO se encuentran luchando para involucrar a los miembros de su junta en las prioridades de ciberseguridad.

En términos generales, ha habido una falta de liderazgo tecnológico en las juntas directivas. Está comenzando a cambiar, pero es importante que los CISO y los directores de información (CIO) comprendan que lo más possible es que inicien conversaciones de ciberseguridad y TI con la junta con los conceptos básicos. Deben estar preparados para construir una base de educación y comprensión con los miembros de la junta sobre los desafíos de ciberseguridad y las soluciones tecnológicas. Cuando un miembro de la junta ve la violación masiva de un competidor y pregunta: «Acabo de ver este ataque de ransomware en las noticias, ¿nos puede pasar a nosotros?» la confianza que estableció previamente como experto puede ayudar a acelerar la discusión sobre los riesgos potenciales y un prepare de acción.

Recientemente asistí a una reunión con el Consejo de Defensores Informados de AttackIQ donde los líderes de ciberseguridad discutieron desafíos y soluciones para construir un mejor compromiso entre los CISO y los miembros de la junta sobre ciberseguridad, y surgieron una serie de temas clave. El Consejo es un foro de líderes en seguridad para compartir tecnologías de transformación, habilidades organizativas y mejores prácticas de defensa para mejorar la eficacia y eficiencia de los programas de seguridad, y soy miembro fundador.

Consejos prácticos para crear una buena relación con la junta
Un enfoque very simple, pero poderoso, para establecer una buena relación es la celebración de reuniones individuales con los miembros de la junta. Programe reuniones con cada miembro para que comprendan dónde se encuentra hoy su programa de ciberseguridad y el camino que desea emprender para llegar a una estrategia de ciberdefensa proactiva y basada en amenazas. Publique COVID-19, cuando las reuniones vuelvan a ser en persona, busque oportunidades para conectarse y conversar con los miembros de la junta durante la cena la noche anterior a la reunión, durante el desayuno y durante los descansos para tomar café. Su objetivo es derribar el «muro de misterio» que algunos miembros sienten sobre las prácticas de seguridad.

Empiece por recordar cuán comprometido está el miembro de la junta en el éxito de la empresa en algunos casos, han ayudado a hacer crecer la empresa desde una plan hasta la organización madura que es hoy. Ayúdelos a comprender qué se traduce de su programa de ciberseguridad al modelo comercial, en lugar de una discusión solo sobre tecnología. Exponga claramente los mayores riesgos, consecuencias negativas y amenazas que podrían causar el mayor daño a su organización. Sea proactivo en la evaluación de riesgos para la empresa en basic. Pregúntele al miembro de la junta sobre sus principales preocupaciones y comparta los 10 principales riesgos cibernéticos que ve que enfrenta la organización. Ayúdelos a comprender que el phishing no es el único riesgo para la empresa. Muéstreles que sus datos y los datos de los clientes también están en riesgo.

Cuida tu idioma
Utilice un léxico común de términos al comienzo de la relación. Por ejemplo, ¿están familiarizados con el MITRE ATT & CK ¿marco de referencia? Si no, descríbalo en una oración: es un marco de tácticas adversas conocidas, técnicas y conocimiento común, una especie de tabla periódica que enumera y organiza el comportamiento de los actores maliciosos en un formato accesible y fácil de usar, brindando a todos en la seguridad comunidad una herramienta única para debatir y probar las actividades del adversario.

¿Qué otros conceptos puedes introducir en un lenguaje sencillo? ¿Hay eventos que puedan resonar con ellos? ¿Están familiarizados con cómo los rusos llevaron a cabo una operación de influencia cibernética en las elecciones presidenciales estadounidenses de 2016 o cómo supuestamente el gobierno chino robó Joint Strike Fighter datos de un contratista de defensa? Cree contenido fácilmente digerible para ellos sobre atacantes hostiles, lo que hacen y cómo los equipos se defienden de ellos de manera eficaz. Esto lo ayudará a construir una foundation común para avanzar mientras analiza nuevas amenazas, tecnologías y conceptos de seguridad.

Mostrar y contar
Como miembro de varias juntas públicas, agradezco recibir artículos y estudios de casos concisos y específicos para leer o ver antes de las reuniones. En ciberseguridad, los ejercicios de mesa también suelen ser esclarecedores. ¿Por qué no mostrar a sus miembros cómo es un ataque de ransomware importante y utilizar un ejercicio como una oportunidad para hablar sobre las decisiones difíciles que la empresa puede enfrentar en caso de un ataque? ¿Cuánto pagaríamos si fuéramos violados por un ataque de ransomware?

Muchas juntas no se dan cuenta de que la superficie de ataque de su empresa ha aumentado y que el riesgo de un ataque es exponencialmente mayor que en el pasado. Dígale a la pizarra cuando detenga a un intruso de moverse lateralmente. Envíeles informes trimestrales que describan las lecciones que ha aprendido de sus ejercicios prácticos y describa el progreso que ha realizado (y los planes que tiene) para mejorar la eficacia de su programa de seguridad.

También puede aprovechar las infracciones que les suceden a los competidores para saber qué hacer, y qué no hacer, en una situación. Hable abiertamente sobre los impactos presupuestarios y cómo aprovechar al máximo sus recursos limitados. Hay nuevas plataformas de optimización de seguridad disponibles que pueden ayudarlo a hablar con confianza sobre dónde puede estar invirtiendo en exceso y dónde está obteniendo la calidad adecuada de su equipo, procesos y tecnologías.

Esté listo para pivotar
Por último, prepárese para hacer pivotar su arquitectura para ser más competitivo en el otro lado de la pandemia. Busque oportunidades para acelerar su programa de seguridad durante COVID-19. Muchos equipos han podido acelerar la innovación, particularmente en el trabajo remoto para puestos que antes no se creían posibles fuera de la oficina corporativa.

Para muchas empresas, la seguridad se está transformando de un bloqueador comercial a un habilitador. Recuerde, los diamantes se fabrican bajo presión, así que asegúrese de utilizar las amenazas aceleradas como una oportunidad para fortalecer sus defensas y brillar.

Virginia Gambale es actualmente miembro de la junta directiva de JetBlue, Nutanix, Virtu Economical, 1st Derivatives y Regis, y es asesora e inversionista de tecnología con una profunda experiencia en el dominio de los servicios financieros, los servicios comerciales y los sectores de consumo. Además, se desempeña como … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary