Cómo pueden los consejos de dirección gestionar mejor los riesgos de seguridad cibernética

Seguridad Inteligente

05 FEB 2020

Un nuevo informe recomienda que las juntas corporativas respondan cuatro preguntas clave de manera regular para guiar la gobernanza de la seguridad cibernética.

No hay un conjunto de instrumentos o métricas establecidas para administrar la ciberseguridad. La superficie de ataque es tan amplia y las amenazas potenciales se mueven tan rápido que las reglas tradicionales no se aplican. Los miembros de la junta corporativa y los CISO no solo tienen que correr para mantenerse al día con un objetivo en movimiento, sino que necesitan un enfoque completamente nuevo para comprender el problema.

The Center for Long-Term Cybersecurity (CLTC) en la Universidad de California ha realizado un informe, "Consideraciones para la supervisión efectiva del riesgo cibernético". El objetivo es evaluar las creencias, prácticas y aspiraciones sobre la gobernanza de la seguridad cibernética.

Los consejos de dirección dijeron que la ciberseguridad es un riesgo existencial para las empresas y quieren entender el problema porque los problemas están creciendo más rápido de lo que se están resolviendo.

El informe recomienda definir una postura de seguridad que refleje las prioridades y las tolerancias de riesgo de una empresa. Las juntas corporativas deben usar una lista de cuatro preguntas de "tensiones dinámicas" para hacer esto y revisar la lista con frecuencia para medir los cambios en el riesgo, la regulación y la experiencia interna.

Los CISO necesitan desarrollar relaciones de trabajo profundas con los miembros de la junta y encontrar nuevas formas de educarlos sobre los riesgos actuales y los futuros. Los CISO deberían trabajar con la junta para responder estas cuatro preguntas:

1. ¿Cuál es nuestro modelo de riesgo general para gobernar la ciberseguridad?

2. ¿Dónde, cómo y cuándo accedemos a la experiencia para comprender los riesgos?

3. ¿Es la colaboración o la competencia nuestro enfoque preferido con socios de la industria?

4. ¿Cómo compartimos e intercambiamos información sobre cibernética con la administración y el CISO?

La clave es hacer y responder estas preguntas con frecuencia para "multiplicar las ventajas y reducir los riesgos" del enfoque de una empresa para administrar la seguridad. El informe encontró que no hay una respuesta correcta a las preguntas y que la mejor respuesta cambia con el tiempo.

El informe recomienda que las juntas corporativas usen este marco para supervisar y gobernar la ciberseguridad en la empresa en este momento y a medida que surgen nuevas amenazas y regulaciones.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.