Como CISO, ¿cómo informa a la dirección?

Compartir

Las nuevas exigencias legislativas en materia de seguridad informática forman ya parte integrante de la gobernanza de las empresas. En consecuencia, el tema de ciberseguridad ya no es patrimonio exclusivo del CISO, sino que interesa y preocupa, y debe ser comprendido por el COMEX y el CODIR de las organizaciones.

Este nuevo reto está obligando a los niveles C a implicarse y comprender cuestiones para las que no siempre tienen la cultura informática adecuada, en un campo que la mayoría de las veces está reservado a un público de expertos. Al mismo tiempo, los CISO tienen que adaptar sus comunicaciones para satisfacer la necesidad de comprensión de sus directivos.

Esto plantea una serie de preguntas.

  • Como CISO, ¿cómo puede comunicar eficazmente los problemas de seguridad informática a su equipo directivo?
  • ¿Qué se espera del nivel C?
  • ¿Cómo traduce las cuestiones técnicas en objetivos tangibles para la empresa?

Explicaciones.

La dirección es cada vez más consciente de los retos ciberseguridad

Los directivos de las empresas están cada vez más atentos a la importancia de ciberseguridad, como muestra el estudioESG de Trend Micro.

Pero aunque el 82% de los encuestados reconoce que las ciberamenazas están empeorando, ciberseguridad sigue pareciendo demasiado a menudo confinada a los equipos informáticos: según el 62% de los encuestados, es principalmente responsabilidad del Departamento de Sistemas de Información (DSI ).

La buena noticia es que la encuesta muestra que los responsables de la toma de decisiones son cada vez más conscientes de la cuestión, y el 85% de los encuestados señala un interés creciente por parte de los consejos de administración.

La mala noticia es que este creciente interés es a menudo (demasiado) reaccionario, y se produce después de incidentes graves...

ciberseguridad sigue siendo un tema complejo para los directivos

A pesar de esta mayor conciencia del riesgo, los directivos de las empresas tienen dificultades para afrontar los retos que plantea ciberseguridad. Esto es especialmente cierto en el caso de las PYME, cuyos recursos suelen ser limitados.

Según Bpifrance y Cybermalveillance.gouv.fr, esta reticencia se debe a varios factores. En primer lugar, la comprensión de los riesgos cibernéticos es a menudo superficial, lo que conduce a una subestimación de los problemas y a una delegación excesiva en el equipo informático.

Para colmo, lainversión en productos y soluciones ciberseguridad se percibe a menudo como prohibitiva, a pesar de que las consecuencias financieras de un ataque pueden ser catastróficas. Según un estudio de Orange Cyberdéfense, el 60% de las empresas víctimas de un ciberataque quiebran en un plazo de 6 meses. Urge, pues, hacer que ciberseguridad sea inteligible para todos.

¿CÓMO HABLAR DE CIBERNÉTICA CON LOS DIRECTIVOS?

El papel del CISO ya no consiste simplemente en actuar como asesor técnico. Debe evolucionar hacia una función más estratégica y de comunicación, que implica vincular las cuestiones de seguridad informática con los objetivos de gobernanza y la visión empresarial de la compañía.

Habla de negocios más que de técnica con tus contactos

¿Cuál es el principal objetivo de tu discurso a la dirección? Hacerles tomar conciencia de la situación. Para ello habrá que destacar :

  • los retos de ciberseguridad ;
  • las consecuencias de los riesgos (daños a la reputación, indisponibilidad de los procesos empresariales, sanciones económicas, etc.);
  • cómo se relacionan con los objetivos de la empresa.

Como explica Baptiste David, responsable de estrategia de mercado en Tenacy, la dirección de las organizaciones se interesa más por las repercusiones comerciales y presupuestarias de los riesgos de seguridad informática que por los aspectos técnicos y las limitaciones organizativas subyacentes: "El CISO debe evitar el lenguaje técnico y hablar de negocios a los directivos de la empresa. Se trata de explicar por qué ciertas situaciones son problemáticas y su impacto potencial en la organización ".

Por tanto, es importante simplificar los términos que utiliza para facilitar las conversaciones con los directivos. A este respecto, puede consultar el libro blanco coeditado por OSSIR y CLUSIF: La ciberseguridad à l'usage des dirigeants, que ofrece numerosos consejos prácticos para hacer accesible su mensaje, acompañados de un glosario de definiciones sencillas como DNS, BYOD, MFA y Phishing.

Base su discurso en hechos y cifras

Para garantizar una comunicación eficaz, no dude en proyectar la gestión en un escenario. Destaque las consecuencias que tendría para la empresa el éxito de un ciberataque, por ejemplo la imposibilidad de utilizar los puestos de trabajo de toda la empresa durante 72 horas, o las pérdidas económicas en la facturación.

Junto a este escenario, añada una retrospectiva de acontecimientos significativos de ciberseguridad en la empresa. Estos podrían incluir:

  • incidentes internos de seguridad ;
  • los resultados de una auditoría reciente;
  • la introducción de nuevas normativas que han repercutido en el gobierno corporativo...

Se trata de pasar de la ficción a la realidad.

También puede hacer un seguimiento de los incidentes de seguridad ocurridos en empresas similares a la suya (preferiblemente francesas) para facilitar su identificación.

El objetivo es mantener informados a los directivos, sin sobrecargarlos con detalles superfluos. El objetivo es permitirles plantear preguntas y comprender las tendencias en ciberseguridad que podrían afectar a su entorno.

No multipliques tus informes

Demasiados datos matan los datos: para seguir siendo inteligible, ¡no elabore demasiados informes!

Tenga en cuenta que cada informe debe aportar valor añadido a los directivos, es decir, proporcionarles información que sirva de base a las decisiones estratégicas y ponga de relieve los avances o identifique nuevos retos.

Como señala Baptiste David: "Un informe anual no basta para hacer frente a los rápidos cambios de ciberseguridad, mientras que un informe semanal corre el riesgo de saturar a la dirección con información redundante ".

Por ejemplo, en el contexto de un proyecto de certificación ISO 27001 que puede durar seis meses, el formato más adecuado sería un informe trimestral para demostrar los avances y tomar las decisiones adecuadas. Y para asuntos más urgentes o incidentes importantes, pueden presentarse informes ad hoc sin esperar al siguiente plazo.

Utilice Tenacy para apoyar sus análisis

Para facilitar el trabajo de los CISO, la plataforma Tenacy ofrece análisis detallados y contextualizados, que permiten una evaluación precisa y en tiempo real de la postura de seguridad informática de la empresa. Las funciones avanzadas de visualización de datos transforman la información técnica en gráficos y tablas claros, reforzando su comunicación con los responsables de la toma de decisiones.

Esto le permite controlar la empresa ciberseguridad , detectar irregularidades y crear informes comprensibles para todos. ¡La trifecta ganadora!

Para recordar

El papel del CISO está evolucionando más allá de una función puramente técnica para convertirse en un actor estratégico de la empresa. Ahora corresponde al CISO traducir los riesgos cibernéticos en implicaciones comerciales y presupuestarias, y presentar información que sea a la vez pertinente y comprensible para la dirección, de modo que puedan tomarse decisiones.

El uso de plataformas como Tenacy facilita esta tarea, al ofrecer análisis detallados y contextualizados que permiten un seguimiento en tiempo real de la postura de ciberseguridad.

Póngase en contacto con nuestros representantes comerciales para solicitar su demostración Tenacy .