El arte de hablar ciberseguridad con la alta dirección

Según la edición 2020 del estudio "Amenazas informáticas y prácticas de seguridad en Francia" del CLUSIF, que encuestó a 350 empresas de más de 100 empleados, el 56% de los CISO dependen de la alta dirección. Esta baja cifra ilustra lo difícil que es para ciberseguridad ocupar una posición destacada en la alta dirección. ¿Cómo pueden los CISO remediar esta situación y trabajar por un mayor reconocimiento de su papel por parte de la alta dirección? Quizás simplemente atreviéndose a dar el primer paso.

Compartir

Los CISO deben iniciar el diálogo con sus directivos

Aunque los CISO tienen que ser buenos "expertos en ciberseguridad ", también tienen que ser capaces de salir de la oficina y participar en debates con la alta dirección, aunque esto signifique muy a menudo tomar las cosas a paso de tortuga.

¿Por qué hablar con la alta dirección en ciberseguridad ? 

Digámoslo así: sin el apoyo y la confianza de la dirección, un CISO no puede trabajar, o al menos no puede hacer mucho.

Aunque la situación está cambiando, los directivos siguen teniendo dificultades para comprender lo que está en juego con ciberseguridad y lo que implica. El estudio CLUSIF MIPS antes citado contiene dos estadísticas reveladoras sobre este punto:

  • El 56% de los presupuestos asignados a la seguridad de la información se cuestionan por completo cada año, y sólo el 8% de los presupuestos permanecen invariables.
  • El 40% de los presupuestos asignados a la seguridad se refieren a la implantación de soluciones dentro de la empresa, lo que ilustra el hecho de que la alta dirección percibe ciberseguridad principalmente como una herramienta.

Para llevar a cabo su misión con éxito y asegurarse los presupuestos necesarios, los CISO no tienen elección: tienen que alertar sin provocar, educar sin irritar, proponer sin exigir... en resumen, ¡ganarse a los responsables de la toma de decisiones!

Es una ambición que requiere paciencia y constancia, y a menudo comienza con la observación y la investigación.

Preparar el terreno, construir el campo

Muchos CISO están, de hecho, muy lejos de los órganos de decisión. Sin embargo, si quieren que se les escuche (y se les escuche), pueden ser proactivos, ya se trate de una iniciativa puntual o de una acción cotidiana a largo plazo. He aquí algunos ejemplos.

  • Solicitudes de reunión: Los directivos disponen de poco tiempo, pero siguen estando dispuestos a reunirse en momentos clave (por ejemplo, unos meses después de asumir el cargo de CISO o una o dos veces al año para debatir cuestiones estratégicas). Corresponde a los CISO arriesgarse y solicitar una reunión cuando lo consideren oportuno.
  • Investigación sobre el terreno y vínculos creados con otros contactosLa necesidad de observar y cartografiar el entorno: los CISO que tienen dificultades para acceder a la alta dirección tienen todo el interés en observar y cartografiar su entorno. ¿Quién hace qué? ¿Quién conoce a quién? ¿Quién tiene influencia? Forjando vínculos con las personas adecuadas, puedes abrirte camino de forma lenta pero segura hasta la cima.
  • CuestionariosEnviar un cuestionario antes de una presentación es una buena forma de que el CISO averigüe qué es lo que interesa especialmente a los directivos, así como su nivel de madurez. También es una forma de conocer mejor el perfil de los directivos: sus "aficiones", sus preferencias en términos de presentación, sus rasgos de carácter... todos ellos elementos que permitirán al CISO adaptarse a las expectativas y ganar puntos.

Sea cual sea el medio utilizado, los CISO tienen mucho que ganar con la "pesca de información", interesándose tanto por los aspectos específicos del negocio como por el perfil psicológico de los altos ejecutivos. Recopilar esta información es un paso esencial para elaborar un mensaje eficaz y atractivo.

¿Cómo puede implicar a la dirección en la cuestión ciberseguridad ?

Los directivos no son como los demás. Disponen de poco tiempo, tienen grandes responsabilidades y, sobre todo, buscan ayuda para tomar decisiones. Esto significa que los CISO tienen que posicionarse como facilitadores, adaptando su enfoque y sus presentaciones en consecuencia.

El nivel adecuado de información

Los directivos no quieren saberlo ni entenderlo todo. De hecho, sólo les interesan los elementos que les ayudan a tomar decisiones informadas. Por este motivo, el CISO solo debe comunicar la información esencial.

Como bien recuerda el CIGREF en su publicación de octubre de 2018 "Visualizar, comprender, decidir", el cuadro de mandos presentado al COMEX y al consejo de administración debe ante todo adaptarse a las características de la entidad en cuestión, con un principio simple: "permitir a la dirección tomar las decisiones adecuadas para cubrir el ciberriesgo". Aunque el informe propone un marco detallado para la información que debe facilitarse, a continuación se indican los elementos a los que debe darse prioridad en la comunicación:

  • Amenazas existentesAmenazas existentes: en qué consisten (estafas del presidente, phishing, negligencia de los empleados, etc.), por qué es probable que causen daños importantes a la empresa y por qué preocupan especialmente a la empresa.
  • Los riesgos que estas amenazas representan para la empresa
  • El nivel de inversión para cubrir estos riesgos
  • Los últimos incidentes sufridos por la empresa (de qué se trató, cómo reaccionaron los equipos, con un enfoque pedagógico)

¿Y los indicadores? No es necesario presentar decenas de indicadores, lo ideal es seleccionar aquellos que ayuden a la dirección a identificar el grado de exposición al riesgo y a evaluar la pertinencia de las medidas propuestas.

La lengua adecuada

Los miembros de la alta dirección no son especialistas en ciberseguridad, y no es raro encontrar grandes disparidades en su conocimiento y comprensión del tema.

También en este caso, el CISO debe adaptarse. No tiene sentido hablar de detalles técnicos que no "hablarán" a un directivo. Es mejor aventurarse en su propio territorio, construyendo un discurso en torno a conceptos como la viabilidad a largo plazo de la empresa, la continuidad del negocio, la protección de la I+D y la imagen de marca.

Por último, y aunque sea preferible dejar los discursos técnicos en el armario, todo CISO tiene un papel que desempeñar como formador, esforzándose regularmente por explicar el significado de los términos que utiliza, o recurriendo a analogías para favorecer la comprensión.

A este respecto, el libro blanco "La ciberseguridad à l'usage des dirigeants", coeditado por OSSIR y CLUSIF, constituye una interesante fuente de inspiración. En él, los CISO encontrarán ideas de ángulos para concretar su discurso (los riesgos asociados al correo electrónico, los teléfonos móviles, la navegación por Internet, etc.), así como un glosario de definiciones sencillas y comprensibles.

El enfoque correcto

Sólo hay una manera de hacerlo: vincular el discurso de ciberseguridad lo más estrechamente posible a elementos concretos, es decir, ¡hechos y cifras! Por tanto, el CISO debe "proyectar" la gestión en un escenario plausible, en el que presente :

  • los acontecimientos que podrían producirse en caso de incidente (la imposibilidad de utilizar los 612 puestos de trabajo durante al menos 48 horas, el cierre de una planta durante 5 días, etc.).
  • las consecuencias previsibles, como pérdida de ventas, litigios con los clientes, daños a la imagen de la marca, etc.
  • la gravedad de estas consecuencias (baja, media, alta)
  • el presupuesto necesario para limitar al máximo el riesgo

El CISO puede incluso llegar a utilizar una forma de storytelling, citando el ejemplo de una empresa que haya tenido que hacer frente a la situación descrita (preferiblemente eligiendo un ejemplo con el que la dirección pueda identificarse, ya sea porque la organización es local o pertenece a un sector de actividad similar). La alta dirección estará encantada y más dispuesta a seguir las recomendaciones del CISO.

El ritmo adecuado

No es raro que los directivos asistan a una reunión tras otra y acaben aburridos por la sucesión de presentaciones. Para "despertar" y causar impresión, los CISO necesitan innovar, con presentaciones dinámicas y eficaces.

Para lograrlo, nada como unos cuadros de mando claros y concisos con representaciones visuales que ilustren lo que se dice.

Además, se pueden utilizar muchas técnicas de presentación. Por poner solo un ejemplo, todo CISO debería intentar al menos una vez sondear a su audiencia antes de presentar el estado de la seguridad, con una simple pregunta del tipo "¿Cree que la empresa está adecuadamente protegida?".

Es una forma eficaz de captar la atención, de sorprender, pero también de sensibilizar si las respuestas dadas no se ajustan a la realidad.

La herramienta adecuada

La primera herramienta diseñada por CISOs para ayudar a los CISOs de su organización. Una plataforma Saas adaptable y colaborativa, nuestra solución de gestión ciberseguridad permite a cada CISO..:

  • ahorrar tiempo en tareas inútiles y lentas
  • recuperar la visibilidad, al poder desarrollar y supervisar los cuadros de mando de forma eficaz y exhaustiva
  • garantizar que las acciones se ajustan a los objetivos
  • ¿Qué significa esto para las relaciones entre el departamento ciberseguridad y la alta dirección?

Al ofrecer una visión de 360° de ciberseguridad , y gracias a sus numerosas funciones dedicadas a la supervisión de ciberseguridad, Tenacy permite a los CISO presentar a sus directivos los puntos clave de su actividad. Nuestra solución también les permite dedicar más tiempo de calidad y ofrecer a la empresa todo el valor añadido que necesita.

Póngase en contacto con nosotros