LOS CISO DEBEN INICIAR EL DIÁLOGO CON SUS DIRECTIVOS
Aunque los CISO tienen que ser buenos “expertos en ciberseguridad “, también tienen que ser capaces de salir de la oficina y participar en debates con la alta dirección, aunque esto signifique muy a menudo tomar las cosas a paso de tortuga.
¿Por qué hablar con la alta dirección en ciberseguridad ?
Digámoslo así: sin el apoyo y la confianza de la dirección, un CISO no puede trabajar, o al menos no puede hacer mucho.
Aunque la situación está cambiando, los directivos siguen teniendo dificultades para comprender lo que está en juego con ciberseguridad y lo que implica. El estudio CLUSIF MIPS antes citado contiene dos estadísticas reveladoras sobre este punto:
- El 56% de los presupuestos asignados a la seguridad de la información se cuestionan por completo cada año, y sólo el 8% de los presupuestos permanecen invariables.
- El 40% de los presupuestos asignados a la seguridad se refieren a la implantación de soluciones dentro de la empresa, lo que ilustra el hecho de que la alta dirección percibe ciberseguridad principalmente como una herramienta.
Para llevar a cabo su misión con éxito y asegurarse los presupuestos necesarios, los CISO no tienen elección: tienen que alertar sin provocar, educar sin irritar, proponer sin exigir… en resumen, ¡ganarse a los responsables de la toma de decisiones!
Es una ambición que requiere paciencia y constancia, y a menudo comienza con la observación y la investigación.
Preparar el terreno, construir el campo
Muchos CISO están, de hecho, muy lejos de los órganos de decisión. Sin embargo, si quieren que se les escuche (y se les escuche), pueden ser proactivos, ya se trate de una iniciativa puntual o de una acción cotidiana a largo plazo. He aquí algunos ejemplos.
- Solicitudes de reunión: Los directivos disponen de poco tiempo, pero siguen estando dispuestos a reunirse en momentos clave (por ejemplo, unos meses después de asumir el cargo de CISO o una o dos veces al año para debatir cuestiones estratégicas). Corresponde a los CISO arriesgarse y solicitar una reunión cuando lo consideren oportuno.
- Investigación sobre el terreno y vínculos creados con otros contactos: la necesidad de observar y cartografiar el entorno: los CISO que tienen dificultades para acceder a la alta dirección tienen todo el interés en observar y cartografiar su entorno. ¿Quién hace qué? ¿Quién conoce a quién? ¿Quién tiene influencia? Forjando vínculos con las personas adecuadas, puedes abrirte camino de forma lenta pero segura hasta la cima.
- Cuestionarios: enviar un cuestionario antes de una presentación es una buena forma de que el CISO averigüe qué es lo que interesa especialmente a los directivos, así como su nivel de madurez. También es una forma de conocer mejor el perfil de los directivos: sus “aficiones”, sus preferencias en términos de presentación, sus rasgos de carácter… todos ellos elementos que permitirán al CISO adaptarse a las expectativas y ganar puntos.
Sea cual sea el medio utilizado, los CISO tienen mucho que ganar con la “pesca de información”, interesándose tanto por los aspectos específicos del negocio como por el perfil psicológico de los altos ejecutivos. Recopilar esta información es un paso esencial para elaborar un mensaje eficaz y atractivo.
¿CÓMO PUEDE IMPLICAR A LA DIRECCIÓN EN LA CUESTIÓN CIBERSEGURIDAD ?
Los directivos no son como los demás. Disponen de poco tiempo, tienen grandes responsabilidades y, sobre todo, buscan ayuda para tomar decisiones. Esto significa que los CISO tienen que posicionarse como facilitadores, adaptando su enfoque y sus presentaciones en consecuencia.
El nivel adecuado de información
Los directivos no quieren saberlo ni entenderlo todo. De hecho, sólo les interesan los elementos que les ayudan a tomar decisiones informadas. Por este motivo, el CISO solo debe comunicar la información esencial.
Como bien recuerda el CIGREF en su publicación de octubre de 2018 “Visualizar, comprender, decidir”, el cuadro de mandos presentado al COMEX y al consejo de administración debe ante todo adaptarse a las características de la entidad en cuestión, con un principio simple: “permitir a la dirección tomar las decisiones adecuadas para cubrir el ciberriesgo”. Aunque el informe propone un marco detallado para la información que debe facilitarse, a continuación se indican los elementos a los que debe darse prioridad en la comunicación:
- Amenazas existentes: en qué consisten (estafas del presidente, phishing, negligencia de los empleados, etc.), por qué es probable que causen daños importantes a la empresa y por qué preocupan especialmente a la empresa.
- Los riesgos que estas amenazas representan para la empresa
- El nivel de inversión para cubrir estos riesgos
- Los últimos incidentes sufridos por la empresa (de qué se trató, cómo reaccionaron los equipos, con un enfoque pedagógico)
¿Y los indicadores? No es necesario presentar decenas de indicadores, lo ideal es seleccionar aquellos que ayuden a la dirección a identificar el grado de exposición al riesgo y a evaluar la pertinencia de las medidas propuestas.
La lengua adecuada
Los miembros de la alta dirección no son especialistas en ciberseguridad, y no es raro encontrar grandes disparidades en su conocimiento y comprensión del tema.
También en este caso, el CISO debe adaptarse. No tiene sentido hablar de detalles técnicos que no “hablarán” a un directivo. Es mejor aventurarse en su propio territorio, construyendo un discurso en torno a conceptos como la viabilidad a largo plazo de la empresa, la continuidad del negocio, la protección de la imagen de marca.
Por último, y aunque sea preferible dejar los discursos técnicos en el armario, todo CISO tiene un papel que desempeñar como formador, esforzándose regularmente por explicar el significado de los términos que utiliza, o recurriendo a analogías para favorecer la comprensión.
El enfoque correcto
Sólo hay una manera de hacerlo: vincular el discurso de ciberseguridad lo más estrechamente posible a elementos concretos, es decir, ¡hechos y cifras! Por tanto, el CISO debe “proyectar” la gestión en un escenario plausible, en el que presente:
- los acontecimientos que podrían producirse en caso de incidente (la imposibilidad de utilizar los 612 puestos de trabajo durante al menos 48 horas, el cierre de una planta durante 5 días, etc.).
- las consecuencias previsibles, como pérdida de ventas, litigios con los clientes, daños a la imagen de la marca, etc.
- la gravedad de estas consecuencias (baja, media, alta)
- el presupuesto necesario para limitar al máximo el riesgo
El CISO puede incluso llegar a utilizar una forma de storytelling, citando el ejemplo de una empresa que haya tenido que hacer frente a la situación descrita (preferiblemente eligiendo un ejemplo con el que la dirección pueda identificarse, ya sea porque la organización es local o pertenece a un sector de actividad similar). La alta dirección estará encantada y más dispuesta a seguir las recomendaciones del CISO.
El ritmo adecuado
No es raro que los directivos asistan a una reunión tras otra y acaben aburridos por la sucesión de presentaciones. Para “despertar” y causar impresión, los CISO necesitan innovar, con presentaciones dinámicas y eficaces.
Para lograrlo, nada como unos cuadros de mando claros y concisos con representaciones visuales que ilustren lo que se dice.
Además, se pueden utilizar muchas técnicas de presentación. Por poner solo un ejemplo, todo CISO debería intentar al menos una vez sondear a su audiencia antes de presentar el estado de la seguridad, con una simple pregunta del tipo “¿Cree que la empresa está adecuadamente protegida?”.
Es una forma eficaz de captar la atención, de sorprender, pero también de sensibilizar si las respuestas dadas no se ajustan a la realidad.