¿Está su junta directiva preparada para las nuevas normas de ciberseguridad?

Las juntas directivas prestan ahora atención a la necesidad de participar en la supervisión de la ciberseguridad. Las consecuencias no solo son motivo de preocupación, sino que el nuevo reglamento está aumentando la apuesta y cambiando las reglas del juego.

Los consejos de administración desempeñan una función particularmente importante para garantizar una gestión adecuada del ciberriesgo como parte de su función fiduciaria y de supervisión. A medida que aumentan las ciberamenazas y las empresas de todo el mundo aumentan sus presupuestos de ciberseguridad, la comunidad reguladora, incluida la SEC, promueve nuevos requisitos que las empresas deberán conocer a medida que refuerzan su ciberestrategia.

La mayoría de las organizaciones que hemos estudiado se centran en la ciberprotección más que en la ciberresiliencia, y creemos que es un error. La resiliencia es más que una simple protección; es un plan para la recuperación y la continuación de la actividad empresarial. Ser resiliente significa que ha hecho todo lo que ha podido para proteger y detectar un ciberincidente, y también ha hecho todo lo que ha podido para asegurarse de que puede seguir operando cuando se produce un incidente. Una empresa que solo invierte en protección no gestiona el riesgo asociado a volver a ponerse en marcha en caso de un ciberincidente.

Nuestras investigaciones indican que la mayoría de los miembros del consejo de administración creen que no se trata de si su empresa sufrirá un ciberevento, sino de cuándo. El objetivo final de una organización ciberresiliente sería cero interrupciones a causa de una ciberviolación. Eso hace que centrarse en la resiliencia sea más importante.

El nuevo reglamento de la SEC cambiará la función de la junta

En marzo de 2022, la SEC publicó una propuesta de norma titulada Gestión de riesgos de ciberseguridad, estrategia, gobierno y divulgación de incidentes. En él, la SEC describe su intención de exigir a las empresas que cotizan en bolsa que revelen si sus consejos de administración tienen miembros con experiencia en ciberseguridad: «La ciberseguridad ya es una de las principales prioridades de muchos consejos de administración y los incidentes de ciberseguridad y otros riesgos se consideran una de las mayores amenazas para las empresas. En consecuencia, los inversores pueden considerar importante que se revele si algún miembro del consejo tiene experiencia en ciberseguridad, ya que tienen en cuenta su inversión en la persona inscrita y sus votos en la elección de los directores de la persona inscrita».

La SEC pronto exigirá a las empresas que revelen sus capacidades de gobernanza de la ciberseguridad, incluida la supervisión del ciberriesgo por parte del consejo de administración, una descripción del papel de la dirección en la evaluación y la gestión de los ciberriesgos, la experiencia relevante de dicha gestión y el papel de la dirección en la implementación de las políticas, procedimientos y estrategias de ciberseguridad del registrante. En concreto, cuando sea pertinente para la supervisión de la junta, las personas inscritas deberán divulgar:

• si todo el consejo, un miembro específico del consejo o un comité del consejo son responsables de la supervisión de los ciberriesgos,
• los procesos mediante los que se informa a la junta sobre los ciberriesgos y la frecuencia de sus debates sobre este tema,
• si el consejo de administración o el comité específico del consejo de administración considera los ciberriesgos como parte de su estrategia empresarial, gestión de riesgos y supervisión financiera y de qué manera.

La buena noticia es que las juntas directivas están progresando en este ámbito. Una investigación reciente que realizamos con el socio de investigación Proofpoint mostró que casi dos tercios de los miembros del consejo creen que la organización corre el riesgo de sufrir un ciberataque material. Casi las tres cuartas partes de los encuestados consideraron que la inversión que su organización ha realizado en ciberseguridad es adecuada y aproximadamente la misma cantidad considera que la ciberseguridad es una de las principales prioridades. El setenta y seis por ciento informó que los asuntos de ciberseguridad se discuten en todas las reuniones de la junta, o con más frecuencia que eso.

Sin embargo, nuestra investigación también descubrió actitudes y creencias que deben cambiar. Solo el 23% de los miembros de la junta cree que el riesgo de un ataque a su organización es muy probable. Alrededor del 47% cree que su organización no está preparada para un ciberataque, lo que se plantea la pregunta «¿qué hacen al respecto?» Y alrededor de un tercio de los miembros de la junta dicen que interactúan con el CISO solo cuando él/ella hace una presentación ante la junta. Es evidente que hay margen de mejora a la hora de alinear a los miembros de la junta con las prioridades de ciberseguridad de la organización.

Ajuste de actitud de ciberseguridad de un miembro de la junta

Para garantizar una supervisión adecuada y cumplir con el entorno reglamentario, los miembros de la junta directiva tendrán que mejorar su estrategia de ciberseguridad. Ya no basta con enterarse de las protecciones establecidas o de los resultados del último ejercicio de suplantación de identidad. Los miembros del consejo de administración deben adoptar la postura de que los ciberataques son probables y ejercer su función de supervisión para garantizar que los ejecutivos y los gerentes se hayan preparado de manera adecuada y adecuada para responder y recuperarse. Al fin y al cabo, si asumimos que todas las organizaciones corren el riesgo de ser violadas o atacadas y que no es posible protegerse al 100% de todos los ataques, el enfoque más racional es asegurarnos de que la organización puede recuperarse con poco o ningún daño a las operaciones, a los resultados financieros y a la reputación de la organización.

Fomentar la resiliencia en una organización requiere una supervisión adecuada por parte de la sala de juntas, basada en un plan claro basado en un análisis empresarial y económico. Estas son algunas historias sobre cómo las empresas que estudiamos lo han hecho.

El CEO de una empresa de servicios financieros se dio cuenta de que su consejo de administración no conocía bien el contexto empresarial ni el riesgo de exposición financiera provocado por un ciberataque. Contrató a una consultora externa para realizar una evaluación de la madurez de la ciberseguridad. El CISO de la empresa presentó los resultados del informe al subcomité de gestión de riesgos empresariales, lo que creó un diálogo productivo en torno al impacto empresarial y financiero de las diferentes inversiones en ciberseguridad. Las situaciones hipotéticas de invertir en diferentes niveles de madurez ayudaron a la junta a entender las compensaciones financieras y de riesgo y le proporcionaron el lenguaje y la perspectiva necesarios para llevar a cabo la necesaria supervisión de los planes de ciberseguridad ofrecidos por el equipo ejecutivo.

Otra organización centró su junta directiva en la alineación de su programa de ciberseguridad y el riesgo operativo. El CISO, en colaboración con el director de riesgos, aprovecha los análisis financieros para ayudar a cerrar la brecha entre la ciberexposición y las pérdidas operativas. La junta pudo entender la exposición de la organización desde la perspectiva del riesgo, lo que le permitió optimizar su póliza de ciberseguro como una forma de mitigar el riesgo recién entendido.

Al utilizar el lenguaje del riesgo, la resiliencia y la reputación en las conversaciones sobre ciberseguridad con los miembros del consejo de administración, los ejecutivos de operaciones pueden cerrar las brechas que se producen a menudo entre las necesidades técnicas que se consideran para satisfacer las necesidades de ciberseguridad y las responsabilidades de supervisión que desempeñan los consejos de administración. Quizás lo expresó mejor Peter R. Gleason, presidente y CEO de la Asociación Nacional de Directores Corporativos (NACD), cuando dijo: «Muchos directores nos han dicho la necesidad de entender la exposición financiera que resulta del ciberriesgo, yendo más allá de las presentaciones cibernéticas técnicas y centradas en las amenazas que reciben la mayoría de las juntas directivas».

A medida que confiamos cada vez más en las juntas directivas para extender sus responsabilidades fiduciarias a los planes de ciberseguridad, los directores de operaciones también deben asumir una función presentando esos planes de manera que se alineen con la mejor forma en que las juntas contribuyen. Se puede cumplir mejor con los nuevos requisitos reglamentarios alineando la forma en que los líderes operativos discuten la ciberseguridad con sus consejos de administración.

Aumente la experiencia en ciberseguridad en su sala de juntas

Estas son algunas ideas prácticas para empezar hoy mismo para que su junta cumpla (o supere) las nuevas directrices de la SEC y proporcione el nivel adecuado de supervisión de los planes de ciberseguridad:

1. Desarrolle un lenguaje común para debatir los complejos temas del ciberriesgo y la resiliencia.

Las juntas quieren simplificar las conversaciones técnicas y confusas repletas de términos de seguridad matizados. No es que carezcan de importancia, simplemente no es tan eficaz para la junta como un análisis económico que muestre cómo los ciberataques ponen en peligro financiero a las organizaciones a corto y largo plazo y cómo la organización volverá a funcionar, es decir, resiliente. Nuestras investigaciones muestran que las compañías de seguros están tomando la iniciativa en este sentido, ya que están cambiando la conversación cibernética de una conversación sobre seguridad altamente técnica y ambigua a una en la que las empresas pueden entender y gestionar eficazmente su exposición financiera.

2. Mantenga la ciberresiliencia en la agenda de la junta y en las conversaciones con la dirección.

Nuestras investigaciones indican que las juntas directivas escuchan hablar de ciberseguridad por parte de la dirección, pero las conversaciones deben celebrarse con más frecuencia. No es una decisión del tipo «una y hecha»; es un objetivo que cambia y se mueve continuamente. Cuanto más a menudo se expone la junta a la cibersituación de su organización, más cómodo y experto se vuelve.

3. Construya puentes más amplios entre los ejecutivos de ciberseguridad y los miembros del consejo de administración.

Los miembros de la junta deben tener acceso a los expertos en ciberseguridad de la organización y relaciones con ellos. Si bien invitar a los CISO a rendir cuentas a la junta ayuda con la identidad, no crea conexiones sólidas entre los miembros de la junta y los ejecutivos de seguridad. Encuentre formas de facilitar esta relación.

En nuestra investigación, hemos visto a miembros del consejo de administración ponerse en contacto con los CISO entre reuniones del consejo para hablar sobre los titulares de ciberseguridad, compartir los incidentes personales que podrían ocurrir y simplemente para conocerse mejor. De esa forma, cuando hay una necesidad urgente de que la junta intervenga en una situación de ciberseguridad, la relación ya existe y los debates son más relevantes y transparentes. Un ciberincidente no es el momento de construir el puente; debería ocurrir mucho antes de que tengan lugar las difíciles conversaciones.

La educación del consejo de administración para cumplir con los requisitos de la SEC puede realizarse de forma orgánica si tanto el consejo como los ejecutivos de operaciones modifican ligeramente su enfoque. Pensar en términos de resiliencia en lugar de protección, equilibrar los riesgos empresariales y técnicos, hablar de la ciberseguridad en términos de exposición financiera y aumentar la frecuencia del debate sobre el panorama de la ciberseguridad al que se enfrenta la organización ayudará a los directores de los consejos de administración a prepararse y cumplir las normas de la SEC que probablemente se avecinan. Y eso contribuirá en gran medida a aumentar la resiliencia de la organización.