¿Su Junta Entiende realmente sus riesgos cibernéticos?

https://hbr.org/resources/images/article_assets/2020/09/Sep20_01_1222958278.jpg
https://hbr.orghttps://hbr.org/resources/images/article_assets/2020/09/Sep20_01_1222958278.jpg

Los métodos para medir el riesgo cibernético han evolucionado en los últimos años, pero todavía sesgan técnicos y estrechos: las calificaciones cibernéticas verdaderamente efectivas deben ser evaluaciones holísticas que tengan en cuenta el análisis técnico, la gobernanza, la cultura y el impacto financiero de los cibereventos adversos. Para cerrar la brecha, los líderes de las empresas necesitan aprender a interpretar lo que significan realmente para ellos las evaluaciones y sus componentes subyacentes. Sin embargo, ser alfabetizado en el riesgo cibernético no significa que cada ejecutivo necesite ser un experto técnico. Lo que sí significa es que necesitan ser capaces de establecer la tolerancia de su empresa al riesgo cibernético, definir los resultados que son más importantes para su negocio para guiar la inversión en ciberseguridad y ser capaces de fomentar una cultura de ciberseguridad y resiliencia.

Durante la última década, los líderes empresariales han tenido que enfrentar una verdad incómoda: se ha vuelto imposible sentarse a la cabeza de una empresa y no abordar la amenaza del riesgo cibernético. Ciberataques son cada vez más generalizadas y pueden presentar amenazas casi existenciales para las empresas, y los consejos de administración y directores ejecutivos necesitan formas de evaluarlas, incluso si no pueden comprender los detalles técnicos. Esto ha provocado una explosión en la demanda de mediciones del riesgo cibernético, tanto dentro de las empresas como entre las partes interesadas externas.

Si bien los métodos de medición del riesgo cibernético han evolucionado en los últimos años, gracias en parte a los esfuerzos de agencias de calificación crediticia, inversores, y compañías de seguros, nada puede reemplazar la adopción de decisiones fundamentadas a nivel ejecutivo. Como expertos en ciberseguridad, creemos que ha llegado el momento no solo de desarrollar puntuaciones basadas en evaluaciones de terceros, sino evaluaciones holísticas que tengan en cuenta el análisis técnico, la gobernanza, la cultura y el impacto financiero de los cibereventos adversos. Esas evaluaciones deberían convertirse en una herramienta necesaria y poderosa para los directores corporativos que, si están debidamente capacitados para interpretarlas, podrían utilizarlas para comprender la exposición de su organización a las vulnerabilidades tecnológicas.

Alfabetización en riesgo cibernético no significa que todos los ejecutivos tengan que convertirse en expertos técnicos. Lo que sí significa es que necesitan ser capaces de establecer la tolerancia de su empresa al riesgo cibernético, definir los resultados que son más importantes para guiar la inversión en ciberseguridad y ser capaces de fomentar una cultura de ciberseguridad y resiliencia.

Lo que las evaluaciones de riesgo cibernético hacen (y no) le indican

En su nivel más básico, una evaluación de riesgos cibernéticos de terceros muestra lo bien que una empresa ha implementado defensas diseñadas para protegerla de un ataque cibernético, ya sea una interrupción de sus productos y servicios, una violación de sus datos confidenciales o un fraude impulsado por un ciberataque. Estas evaluaciones también miden lo bien que una empresa se ha preparado para defenderse y recuperarse de tales ataques: su resiliencia cibernética. Este es un componente fundamental de su estrategia más amplia de gestión de riesgos empresariales. Los riesgos de una débil resiliencia cibernética son abundantemente claros: los directores ven una corriente casi constante de noticias de acceso a la red para la venta, fábrica la producción se ve interrumpida con una pérdida de ingresos, cables bancarios fraudulentos, y infracciones de la privacidad del cliente, todo lo cual crea un daño duradero a la reputación de la empresa víctima.

Durante la última década, la tarea de comprender y cuantificar el riesgo cibernético ha recaído principalmente en los Jefes de Seguridad de la Información (CISO) y sus equipos, quienes abordaron principalmente el aspecto técnico del problema. Al realizar sus evaluaciones, han tendido a centrarse en el número de ataques anteriores, su impacto y la rapidez con que fueron abordados. Su objetivo, en resumen, ha sido hacer un balance de las defensas establecidas. El problema con este enfoque es que es en gran medida hacia atrás. Las evaluaciones a veces implican examinar los sistemas de la empresa expuestos a Internet como podría ser un atacante, y tratar de determinar cuán vulnerables son esos sistemas para atacar. El problema con este enfoque es que a menudo no tiene en cuenta las defensas en capas que las organizaciones podrían tener en su lugar, incluidos los esfuerzos para engañar intencionalmente a los hackers que intentan estudiar las debilidades de la organización, por lo que puede reflejar una visión más estrecha del riesgo.

Sin embargo, la limitación más significativa de estos dos enfoques es que aíslan las decisiones de ciberseguridad del negocio al que están destinados a servir. Si bien las evaluaciones técnicas pueden ser suficientes para las necesidades de un CISO, no ofrecen lo que realmente necesita la junta directiva: una visión orientada al riesgo, holística y validada de la empresa que considere los impactos financieros y empresariales de la ciberseguridad (o ciberinseguridad) en una empresa determinada. Además, los informes técnicos no capturan adecuadamente atributos como la gobernanza, la cultura, las prácticas de toma de decisiones o un tratamiento más amplio del perfil de riesgo cibernético y el apetito de una empresa, todos los cuales los directores y ejecutivos de negocios necesitan entender si esperan tomar decisiones informadas sobre si asignar capital para mejorar las defensas cibernéticas en lugar de invertir en otras áreas del negocio.

Cómo obtener la auditoría que necesita

Para que una evaluación sea útil para los directores en una capacidad estratégica, la junta debe ser clara acerca de sus requisitos, lo que significa que necesita saber qué pedir. En lugar de aceptar una puntuación al valor nominal, o incluso una evaluación cualitativa de los gerentes técnicos o auditores de la empresa, los directores deben pedir una evaluación integral: una que vaya más allá de los detalles técnicos y que incluya tanto una perspectiva externa como interna. Al mismo tiempo, los gerentes de seguridad cibernética deben trabajar con sus altos directivos y juntas directivas para proporcionar contexto y utilizar una evaluación como herramienta para compartir los conocimientos que la junta necesita para proporcionar una supervisión eficaz. Cuando se presenta de esta manera, reunida y compartida por un asesor de confianza, la información de riesgo cibernético puede ser contrastada con otros riesgos empresariales y comparada de manera similar con oportunidades estratégicas particulares. Esto no creará resultados perfectos, pero mejorará enormemente la comprensión por parte de las empresas de su riesgo cibernético y proporcionará un camino claro para la evolución de la supervisión a medida que se desarrollen los enfoques.

¿Cómo se ve esto en la práctica? Para tomar decisiones apropiadas, los directores deben comprender qué significa «bueno» para su perfil general de riesgo cibernético y qué implica realmente una evaluación holística (dentro, fuera, comparado, análisis de pérdidas). Además, deben establecer expectativas para un resultado acorde con los objetivos de la empresa. Determinar qué significa «bueno» variará de una empresa a otra. Afortunadamente, esto significa que hay un poco que los directores pueden hacer para asegurarse de que los bloques de construcción están en su lugar para que su empresa pueda lograr los resultados correctos cuando las metodologías de evaluación y calificación cibernética maduran.

Defina su apetito de riesgo: Lo primero que los directores deben reconocer es que la junta debe determinar el apetito de riesgo de la compañía con respecto a los eventos de ciberpérdida tal como lo hace con cualquier otro riesgo. Después de desarrollar una comprensión del tema y de los tipos de riesgos que enfrenta su empresa, la junta directiva reconocerá que la ciberseguridad «perfecta» no es alcanzable. Más bien, se llegará a apreciar que evaluar el riesgo cibernético —y reflexionar sobre cualquier ciberevaluación — requiere una cuidadosa consideración de al menos estas dos preguntas principales: 1) ¿Qué esperan nuestros clientes de nosotros? y 2) ¿Cómo abordan estos riesgos las empresas de pares?

Centrarse en los resultados: En lugar de saltar directamente a una comparación de calificaciones, los líderes necesitan centrarse en los resultados que están tratando de lograr. El resultado correcto es una combinación del apetito de riesgo de una organización, la inversión previa y futura en ciberseguridad, y la expectativa de sus clientes, accionistas e incluso reguladores. Nadie esperaría que un minorista de ladrillo y mortero tenga el mismo programa de ciberseguridad y defensas que un banco superior o fabricante de equipos militares. (Considere la situación de un bufete de abogados, que debe preocuparse mucho por una violación de datos de clientes privados, en comparación con la de una empresa eléctrica, que tiene que preocuparse mucho por una interrupción en los servicios). Asimismo, las juntas directivas y los líderes empresariales necesitan calibrar sus expectativas determinando su apetito por el riesgo y realizando inversiones en ciberseguridad acordes con sus perfiles de industria. Una vez que se decida esto, la junta debe establecer normas y objetivos internos y responsabilizar a la administración por cumplirlos.

Establecer una cultura de ciberseguridad y resiliencia:  Gobernanza y cultura tienen un papel fundamental que desempeñar en cualquier evaluación del riesgo cibernético. Las juntas deben hacer valer su función para asegurar que estos aspectos del programa de ciberseguridad de la empresa sean primordiales. Aunque actualmente existen diferentes enfoques para medir el riesgo cibernético, el resultado correcto siempre comienza con la cultura correcta. Incluso a medida que cambian las mediciones, la cultura es un motor de todos los aspectos de la resiliencia cibernética que se pueden medir: mejora en los procesos técnicos que impulsan la mejora de las puntuaciones externas, participación de la administración en cibertecnología en relación con las iniciativas empresariales, compromiso de la junta directiva para garantizar la rendición de cuentas en objetivos. La cultura también es importante porque sus indicadores fluctúan menos con el tiempo que las medidas tecnológicas, que tienden a cambiar a medida que cambian las tendencias de la informática. Por ejemplo, medir la ciberseguridad en un centro de datos es dramáticamente diferente de medir la ciberseguridad en la nube, pero los aspectos culturales de si estos entornos se administran eficazmente son similares.

***

A medida que el mercado de las evaluaciones de ciberseguridad evoluciona aún más hacia calificaciones holísticas de ciberseguridad, los directores y líderes empresariales deben prestar especial atención a garantizar que las mediciones subyacentes proporcionen un verdadero punto de referencia comparativo, consideren adecuadamente un equilibrio entre las medidas internas y externas, y examinar los aspectos técnicos, de gobernanza y culturales de una organización. Para ello, la transparencia en las metodologías utilizadas para evaluar el riesgo es vital. Pero también es crucial que las organizaciones establezcan y gestionen adecuadamente un apetito de riesgo cibernético, comprendan la gama de impactos financieros que los eventos cibernéticos aplicables pueden tener en una empresa y el papel que una gobernanza buena y bien informada desempeña en mitigarlos.


Via HBR.org

Related Posts
Se sua empresa usa IA

Si su empresa utiliza IA, necesita una Junta de Revisión Institucional

Las empresas que usan IA saben que necesitan preocuparse por la ética, pero cuando empiezan, tienden a seguir el mismo proceso roto de tres pasos: identifican la ética con «equidad», se centran en el sesgo y buscan utilizar herramientas técnicas y divulgación de las stakeholder para mitigar sus riesgos. Desafortunadamente, esto los prepara para el fracaso. Cuando se trata de IA, centrarse en la equidad y el sesgo ignora una enorme franja de riesgos éticos; muchos de estos problemas éticos desafían las soluciones técnicas. En lugar de intentar reinventar la rueda, las empresas deben mirar a la profesión médica y adoptar juntas internas de revisión (IRB). Los IRB, que están compuestos por diversos equipos de expertos, se adaptan bien a cuestiones éticas complejas. Cuando se les da jurisdicción y poder, y se les da temprano, son una herramienta poderosa que puede ayudar a las empresas a pensar en problemas éticos difíciles: ahorrar dinero y reputación de marca en el proceso.

Leer más
Maximizing Your Return on People

Implementación de nuevas tecnologías

Para todos los dólares gastados por las empresas estadounidenses en I + D, a menudo sigue existiendo una brecha persistente y preocupante entre el valor inherente de la tecnología que desarrollan y su capacidad para ponerla a trabajar de manera efectiva. En un momento de fuerte competencia mundial, la distancia entre la promesa técnica y el logro genuino es una cuestión de [...]
Leer más
Dile adiós a las cookies

Dile adiós a las cookies

Durante mucho tiempo, las cookies han permitido a las empresas realizar un seguimiento de la actividad web de sus clientes y, a continuación, utilizar esos datos para personalizar anuncios y ofertas de productos.
Leer más
Lo que significa la pandemia para la transformación digital de la atención de salud

Lo que significa la pandemia para la transformación digital de la atención de salud

En una mesa redonda, los directores de información de los principales sistemas de salud convinieron en que las tecnologías digitales debían desempeñar un papel importante para hacer frente a los desafíos del mundo posterior a la pandemia. Debido a que la atención virtual es ahora parte de la nueva normalidad, los sistemas de salud deben construir una infraestructura de apoyo más sólida que incluya estructuras y procesos organizativos, financieros y clínicos. Tendrán que intensificar sus inversiones en capacidades de salud digital para hacer frente a un entorno financiero más difícil. Además, deberían revisar la mejor manera de identificar y llevar a cabo experimentos con nuevas tecnologías digitales de salud de forma rápida y eficiente.
Leer más