Las nuevas exigencias legislativas en materia de seguridad informática forman ya parte integrante de la gobernanza de las empresas. En consecuencia, el tema de ciberseguridad ya no es patrimonio exclusivo del CISO, sino que interesa y preocupa, y debe ser comprendido por el COMEX y el CODIR de las organizaciones.
Este nuevo reto está obligando a los niveles C a implicarse y comprender cuestiones para las que no siempre tienen la cultura informática adecuada, en un campo que la mayoría de las veces está reservado a un público de expertos. Al mismo tiempo, los CISO tienen que adaptar sus comunicaciones para satisfacer la necesidad de comprensión de sus directivos.
Esto plantea una serie de preguntas.
- Como CISO, ¿cómo puede comunicar eficazmente los problemas de seguridad informática a su equipo directivo?
- ¿Cuáles son las expectativas de los C-level?
- ¿Cómo transcribir problemas técnicos en objetivos tangibles para la empresa?
Explicaciones.
LA DIRECCIÓN ES CADA VEZ MÁS CONSCIENTE DE LOS RETOS CIBERSEGURIDAD
Los directivos de las empresas están cada vez más atentos a la importancia de ciberseguridad, como muestra el estudio ESG de Trend Micro.
Pero aunque el 82% de los encuestados reconoce que las ciberamenazas están empeorando, ciberseguridad sigue pareciendo demasiado a menudo confinada a los equipos informáticos: según el 62% de los encuestados, es principalmente responsabilidad del Departamento de Sistemas de Información (DSI).
La buena noticia es que la encuesta muestra que los responsables de la toma de decisiones son cada vez más conscientes de la cuestión, y el 85% de los encuestados señala un interés creciente por parte de los consejos de administración.
La mala noticia es que este creciente interés es a menudo (demasiado) reaccionario, y se produce después de incidentes graves…
LA CIBERSEGURIDAD SIGUE SIENDO UN TEMA COMPLEJO PARA LOS DIRECTIVOS
A pesar de esta mayor conciencia del riesgo, los directivos de las empresas tienen dificultades para afrontar los retos que plantea ciberseguridad. Esto es especialmente cierto en el caso de las PYME, cuyos recursos suelen ser limitados.
Según Bpifrance y Cybermalveillance.gouv.fr, esta reticencia se debe a varios factores. En primer lugar, la comprensión de los riesgos cibernéticos es a menudo superficial, lo que conduce a una subestimación de los problemas y a una delegación excesiva en el equipo informático.
Para colmo, la inversión en productos y soluciones ciberseguridad se percibe a menudo como prohibitiva, a pesar de que las consecuencias financieras de un ataque pueden ser catastróficas. Según un estudio de Orange Cyberdéfense, el 60% de las empresas víctimas de un ciberataque quiebran en un plazo de 6 meses. Urge, pues, hacer que la ciberseguridad sea inteligible para todos.
¿CÓMO HABLAR DE CIBERSEGURIDAD a su dirección?
El papel del CISO ya no consiste simplemente en actuar como asesor técnico. Debe evolucionar hacia una función más estratégica y de comunicación, que implica vincular las cuestiones de seguridad informática con los objetivos de gobernanza y la visión empresarial de la compañía.
Habla de negocios más que de técnica con tus contactos
¿Cuál es el principal objetivo de tu discurso a la dirección? Hacerles tomar conciencia de la situación. Para ello, debes destacar:
- los retos de ciberseguridad;
- las consecuencias de los riesgos (daños a la reputación, indisponibilidad de los procesos empresariales, sanciones económicas, etc.);
- cómo se relacionan con los objetivos de la empresa.
Como explica Baptiste David, responsable de estrategia de mercado en Tenacy, la dirección de las organizaciones se interesa más por las repercusiones comerciales y presupuestarias de los riesgos de seguridad informática que por los aspectos técnicos y las limitaciones organizativas subyacentes: “El CISO debe evitar el lenguaje técnico y hablar de negocios a los directivos de la empresa. Se trata de explicar por qué ciertas situaciones son problemáticas y su impacto potencial en la organización ».
Por tanto, es importante simplificar los términos que utilizas para facilitar las conversaciones con los directivos.
Basa tu discurso en hechos y cifras
Para garantizar una comunicación eficaz, no dudes en proyectar la gestión en un escenario. Destaca las consecuencias que tendría para la empresa el éxito de un ciberataque, por ejemplo, la imposibilidad de utilizar los puestos de trabajo de toda la empresa durante 72 horas, o las pérdidas económicas en la facturación.
Junto a este escenario, añade una retrospectiva de acontecimientos significativos de ciberseguridad en la empresa. Estos podrían incluir:
- incidentes internos de seguridad;
- los resultados de una auditoría reciente;
- la introducción de nuevas normativas que han repercutido en el gobierno corporativo…
Se trata de pasar de la ficción a la realidad.
También puedes hacer un seguimiento de los incidentes de seguridad ocurridos en empresas similares a la tuya (preferiblemente francesas) para facilitar su identificación.
El objetivo es mantener informados a los directivos, sin sobrecargarlos con detalles superfluos. El objetivo es permitirles plantear preguntas y comprender las tendencias en ciberseguridad que podrían afectar a su entorno.
No multipliques tus informes
Demasiados datos matan los datos: para seguir siendo inteligible, ¡no elabores demasiados informes!
Ten en cuenta que cada informe debe aportar valor añadido a los directivos, es decir, proporcionarles información que sirva de base a las decisiones estratégicas y ponga de relieve los avances o identifique nuevos retos.
Como señala Baptiste David: “Un informe anual no basta para hacer frente a los rápidos cambios de ciberseguridad, mientras que un informe semanal corre el riesgo de saturar a la dirección con información redundante.“
Por ejemplo, en el contexto de un proyecto de certificación ISO 27001 que puede durar seis meses, el formato más adecuado sería un informe trimestral para demostrar los avances y tomar las decisiones adecuadas. Y para asuntos más urgentes o incidentes importantes, pueden presentarse informes ad hoc sin esperar al siguiente plazo.
Utiliza Tenacy para apoyar tus análisis
Para facilitar el trabajo de los CISO, la plataforma Tenacy ofrece análisis detallados y contextualizados, que permiten una evaluación precisa y en tiempo real de la postura de seguridad informática de la empresa. Las funciones avanzadas de visualización de datos transforman la información técnica en gráficos y tablas claros, reforzando tu comunicación con los responsables de la toma de decisiones.
Esto te permite controlar la ciberseguridad de la empresa, detectar irregularidades y crear informes comprensibles para todos. ¡La trifecta ganadora!