¿Cuánto perderá la empresa en un día si las operaciones se paralizan por un ataque de ransomware? ¿Cuáles son las posibilidades de que eso ocurra basándose en la madurez cibernética actual? Cuando los CISO (directores de seguridad de la información) inician los debates de la junta directiva sobre ciberseguridad con un análisis de la exposición financiera basado en datos reales de los beneficios trimestrales y el presupuesto operativo de su empresa, se enciende una bombilla que ilumina la sala. La Junta Directiva entiende rápidamente el impacto porque los CISOs están hablando su idioma.

Cuando se trata de abordar el riesgo cibernético y cómo se alinea con los objetivos estratégicos de la empresa, los desafíos de comunicación no son diferentes en los niveles más altos de la empresa, especialmente entre el CISO, el CEO y/o la Junta Directiva. He aquí 10 preguntas que los miembros del Consejo de Administración quieren que los CISO conozcan y aborden en las reuniones del Consejo en un lenguaje que entiendan: números y porcentajes respaldados por datos del sector.

‍

1. ¿Qué hace para proteger la empresa y las inversiones de los accionistas? Tenemos que evitar convertirnos en titulares. ¿Qué me quita el sueño? Los titulares. Sobre todo los que provocan caídas de las acciones.

‍

2. ¿Cuál es nuestra hoja de ruta para la ciberseguridad? Necesito ver un plan respaldado por métricas con una ruta clara para medir, priorizar y realizar un seguimiento de los recursos para mostrar el valor y el rendimiento de la inversión a lo largo del tiempo. ¿Dónde estamos ahora y dónde tenemos que estar? ¿Cómo vamos a conseguirlo? Muéstrame el camino, no me lo cuentes.

‍

3. ¿Cuál es nuestro plan de defensa contra las últimas amenazas emergentes? ¿Cuál es el próximo SolarWinds? ¿Cómo sabemos que estamos seguros cuando una puerta trasera a la red puede abrirse a través de una actualización de software de confianza y pasar desapercibida para muchos? Necesitamos inteligencia sobre amenazas que agregue y analice el riesgo cibernético para informar nuestra estrategia.

‍

4. ¿Cómo puede proporcionar una evaluación basada en hechos de los riesgos cibernéticos de nuestra organización y hacer un seguimiento de cómo cambia con el tiempo con las últimas amenazas? Necesito que articulen el valor de reducción de riesgos del programa de ciberseguridad de la empresa mediante informes que nos digan lo que significa para nuestro negocio.

‍

5. ¿Cómo afecta nuestro riesgo cibernético a nuestro riesgo empresarial? Tenemos que captar los cambios en el panorama de las ciberamenazas y alinearlos con nuestro propio perfil empresarial. ¿Están todas las divisiones y segmentos operativos adecuadamente preparados? En caso afirmativo, ¿hasta qué punto? ¿Dónde y cómo podemos mejorar nuestra estrategia de gestión de riesgos para apoyar nuestros objetivos empresariales?

‍

6. ¿Cuál será el retorno de la inversión si aprobamos esta inversión en ciberseguridad? ¿Cuánto podemos ahorrar implantando esta herramienta de ciberseguridad? ¿Puede mostrarme en dólares cuánto podríamos perder si no lo hacemos? ¿Cómo crecerá con el tiempo la rentabilidad de esta inversión? Los números cuentan una historia más sólida.

‍

7. ¿Puede cifrar nuestro riesgo? ¿Qué podemos perder? ¿Necesitamos mitigar o transferir el riesgo? Necesito una buena calculadora de riesgos en términos de signos de dólar. Quiero entender nuestra estrategia cibernética en términos financieros.

‍

8. ¿Cómo podemos evitar sanciones y demandas importantes? No quiero enterarme de una posible vulnerabilidad cuando ya sea demasiado tarde. Diga las cosas como son. Necesitamos una estrategia de mitigación compartida y adoptada por todas las divisiones de negocio para que nadie tenga que actuar por su cuenta.

‍

9. ¿Cómo podemos evitar el daño reputacional de una brecha? La confianza en nuestra marca es la base de nuestro negocio. Trabajamos cada día para construirla. Basta un clic erróneo en un correo electrónico de phishing por parte de cualquier empleado de la empresa para deshacer y destruir años de duro trabajo. Identifique el eslabón más débil, evalúe el riesgo y cree un plan de mitigación compartido.

‍

10. ¿Cómo se compara nuestra estrategia de riesgos y ciberseguridad con la de nuestros competidores? Al igual que muchos de nuestros competidores, hemos adoptado el Marco NIST y nos aseguramos de que cumplimos con los informes de seguridad. Hemos invertido en herramientas de ciberseguridad, realizamos escaneos de vulnerabilidades y predicamos con la formación la importancia de mantenerse alerta frente a las amenazas cada día.

‍

Pero hay una forma de adelantarse a nuestros compañeros reuniendo todo esto a través de un sistema de informes que mide, prioriza, mitiga y rastrea el riesgo de todos los activos de la empresa. El resultado de estos informes conduce a mejores debates en la sala de juntas que afectan, dirigen y alinean la estrategia empresarial.

¿Cómo se puede mejorar la comunicación entre la Junta Directiva y los CISO para que estén alineados y gestionen los riesgos cibernéticos de forma eficaz? La Asociación Nacional de Directores Corporativos (NACD) respalda a X-Analytics como la solución de informes de riesgos cibernéticos preferida por sus más de 23.000 miembros. X-Analytics proporciona un programa vivo de cibergobierno que funciona desde el primer día a la velocidad de su negocio. Implique a los líderes empresariales en el lenguaje que entienden. Comience hoy mismo programando una demostración para responder a sus preguntas y ver cómo X-Analytics puede transformar su negocio asignando dólares al riesgo.

‍

‍