El diálogo sobre ciberseguridad con los directivos ha evolucionado. Los equipos de seguridad ya no se consideran solo expertos en tecnología, sino arquitectos de la resistencia contra las ciberamenazas en las empresas. Este cambio se está viendo impulsado por el aumento de los ciberataques, la geopolítica y la transformación digital.
Los directivos quieren conocer ahora, de la mano de los responsables de seguridad, los aspectos estratégicos. No solo quieren que les informemos de que hemos instalado el último firewall o de que cumplimos la normativa. Quieren entender cómo las estrategias de ciberseguridad se relacionan con las estrategias empresariales, y el valor para los accionistas. El diálogo es clave. Los directivos quieren que los equipos de seguridad combinen el lenguaje cibernético con la perspicacia empresarial.
Entonces, ¿qué quieren saber? ¿Cuáles son sus prioridades? ¿Qué quieren de tu equipo? En este artículo, analizamos las prioridades de los directivos en materia de ciberseguridad y cómo los responsables de seguridad pueden comunicarse de manera eficaz con ellos.
En el pasado, los ejecutivos consideraban que la ciberseguridad era un asunto del que se encargaban los equipos técnicos en salas de servidores distantes. Los riesgos cibernéticos parecían abstractos e intangibles. Ya no es así. No hay más que ver las réplicas de fugas como las de Equifax y Colonial Pipeline. Estos ataques interrumpieron totalmente la actividad de las empresas, un impacto descomunal que redefinió el riesgo cibernético como un peligro claro e inminente.
Las nuevas normas de divulgación de riesgos de seguridad de la SEC multiplican esta amenaza. La nueva norma de la SEC, que exige la notificación pública de los incidentes cibernéticos importantes con prontitud y la divulgación anual de los programas cibernéticos, sitúa el riesgo cibernético en primer plano. "Que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente, puede ser importante para los inversores", declara el presidente de la SEC, Gary Gensler. Ahora, los directivos debe participar activamente en la evaluación de los incidentes cibernéticos, la planificación de las divulgaciones y la validación de los programas de seguridad.
Si bien comprenden la gravedad de los riesgos cibernéticos, a menudo carecen de fluidez en el lenguaje esotérico de las amenazas, los vectores y los controles. Esta laguna plantea un desafío de comunicación estratégica. Los directivos necesitan ideas claras que relacionen los ciberriesgos con los resultados empresariales y quieren planes bien definidos para mitigarlos.
Como líderes de seguridad, debemos tender un puente como intérpretes y enseñar a las juntas un lenguaje empresarial sencillo, no técnico. Debemos contextualizar las amenazas dentro de las prioridades empresariales, como la confianza del cliente, la resistencia del servicio y la posición en el mercado.
Las nuevas normas de la SEC confirman que el ciberriesgo está permanentemente interrelacionado con el riesgo empresarial. Nuestros informes deben reflejar esta nueva realidad. Los directivos están en alerta máxima, y nuestra misión debe ser arrojar luz sobre el camino a seguir.
¡Ajá!, la dificultad de demostrar el rendimiento de la inversión (ROI) en ciberseguridad. Los directivos están más implicados que nunca en las inversiones en seguridad, pero no esperan un rendimiento dólar por dólar. En cambio, quieren saber cómo se correlacionan las inversiones en seguridad con una arquitectura empresarial más segura y sólida.
Te planteo un ejercicio interesante. Cuando te prepares para la próxima reunión de la junta directiva, no te limites a comunicar cifras, narra el impacto, cuenta lo que hay detrás. No, no hablo de un cuento de hadas. Cuenta un ejemplo real de cómo la intervención rápida de tu equipo evitó un desastre cibernético. ¿Has sustituido tu VPN por un acceso a la red Zero Trust y has implementado un nuevo sistema XDR? Genial. ¿Cómo afectaron estas medidas a tu capacidad para proteger a los usuarios y reducir el tiempo de respuesta ante incidentes? Deberías proporcionar cifras, pero asegúrate de contar lo que hay detrás de esos números.
Por supuesto, no todo lo que logramos es fácilmente cuantificable. Pero incluso en el caso de beneficios intangibles como la mejora de la reputación, podemos utilizar métricas aproximadas para estimar el valor. La clave está en vincular los programas y el gasto a la mitigación del riesgo que se relaciona con el estado y el rendimiento de la empresa.
Este marco hace que dejemos de ver la ciberseguridad como un coste y la veamos como una función estratégica que genera resistencia empresarial. Las buenas inversiones demuestran cómo la seguridad actúa como escudo competitivo, lo que permite asumir riesgos con cabeza que posibilitan el crecimiento. Esa meta final es el verdadero rendimiento de la inversión que preocupa a los directivos.
Si nos adentramos en el nebuloso terreno de la ciberseguridad moderna, el problema es la inteligencia artificial. A medida que incorporamos la inteligencia artificial generativa en nuestras estrategias de ciberseguridad, los directivos observan, toman notas y, sí, muestran preocupación.
¿Por qué sienten cierto vértigo hacia la IA? Tomemos como ejemplo los chatbots de IA. Son increíbles para la automatización del servicio al cliente, pero ¿qué ocurre cuando se convierten en canales de desinformación o fugas de datos? Los directivos quieren tener la seguridad de que, a medida que se adopta la IA, se dispone de la gobernanza, el conocimiento y los mecanismos de seguridad adecuados.
Los laberintos éticos en torno al reconocimiento facial, los derechos de autor de la IA y la caja de Pandora de las falsificaciones no son solo temas distópicos para una trama de streaming. Son reales y están ocurriendo. Y por si fuera poco, nuestras directivos no son meros observadores pasivos, sino blancos potenciales de ciberamenazas impulsadas por la IA. Entonces, ¿cómo los protegemos exactamente para que no se conviertan en otro vector de ataque? En las salas de juntas no solo se "habla" de IA, también se pregunta y se investiga, y los equipos de ciberseguridad son los protagonistas para dar algunas respuestas muy necesarias.
En las salas de juntas, la narrativa en torno a la seguridad está cambiando. Los ejecutivos consideran cada vez más que la seguridad es una cultura y no un departamento. Es el mantra de "la seguridad es responsabilidad de todos", pero elevado a un nivel estratégico.
Aunque históricamente el error humano ha sido el talón de Aquiles de la seguridad, si se invierten los papeles, el elemento humano puede ser un activo. La formación de los empleados puede ser algo más que una simple casilla de verificación del cumplimiento. Puede ser una herramienta estratégica.
Imagina que un empleado bien formado evita un intento de phishing que podría haber costado millones. Les encantaría escuchar esta historia, ¿verdad? El elemento humano no es un error, es una herramienta. Dejemos de culpar a los usuarios cuando hacen clic accidentalmente en un enlace malicioso. En lugar de eso, haz que los empleados se impliquen e inviertan en ciberseguridad y crea una cultura libre de culpa dentro de tu empresa. Protege a los usuarios contra amenazas cibernéticas que les permitan trabajar con seguridad y estar más dispuestos a informar de las incidentes que les parezcan sospechosos. Y no olvides incluir a la junta directiva en tu cultura de seguridad. Lo ideal es que la cultura de seguridad fluya desde la sala de juntas y brote gracias a medidas cotidianas.
Recuerda la fuga de SolarWinds. Por supuesto, la clasificamos como un incidente de ciberseguridad, pero ¿no fue esencialmente un capítulo de una saga geopolítica extensa? Tu junta directiva es plenamente consciente de que el terreno de actuación de la ciberseguridad se extiende mucho más allá de los muros de tu organización. Ahora es una parte intrincada del panorama mundial.
Las dinámicas geopolíticas están muy presentes en el diálogo sobre ciberseguridad, y han traído consigo algunos complementos complejos: amenazas de estados-nación, hacktivistas, soberanía de datos, privacidad y cuestiones de conformidad internacional. Recuerda, ya no tratamos estos temas como un problema ajeno. Ahora también son nuestra responsabilidad. Y estas amenazas se acentúan si trabajas en un sector considerado "infraestructura esencial".
¿Qué significa esta implicación en el alcance de tus responsabilidades? Significa que estás en la misma sintonía que la junta directiva. En tu próxima reunión, plantea algunas ideas sobre cómo los cambios geopolíticos podrían influir en tu estrategia de ciberseguridad. Serán todo oídos.
La ciberseguridad, que siempre se ha considerado un coste, ha evolucionado hasta convertirse en una unidad de negocio que contribuye a la toma de decisiones estratégicas. Esta transformación de la percepción es el cambio de paradigma más significativo para los equipos de seguridad en los últimos años. Tu junta directiva lo sabe y quiere que tú también lo reconozcas.
Entonces, ¿qué supone en cuanto a tu comunicación con ellos? No se trata solo de exponer las últimas estadísticas de detección de intrusos o la eficacia de los firewalls. En su lugar, describe un panorama en el que la ciberseguridad sea la quilla que estabiliza el barco de la empresa, permitiéndole enfrentarse a vientos y marejadas más fuertes. Consulta el artículo "Market opportunities and business innovations — without capsizing".
¿Qué te impide convertirte en ese gurú estratégico que entrelaza a la perfección las cuestiones de seguridad con el ADN mismo de tu modelo de negocio? Nada, excepto quizá viejos hábitos y percepciones obsoletas. Considera esto tu toque de rebato. La próxima reunión de la junta directiva no debería ser solo una puesta al día, sino una revelación. Se han sentado las bases para que pases de ser el responsable de la protección a un guía, de un "guardián" a un pionero. Prepárate para transformar el modelo de negocio.
¿Estamos preparados? ¿Estamos dispuestos a cambiar la dinámica del "departamento del NO" por el catalizador que ayuda a la empresa a proclamar un "Sí" estratégico?
Ya lo anunció William Gibson: "El futuro ya está aquí, solo que no está distribuido de forma uniforme". Es hora de que ampliemos nuestra sabiduría sobre ciberseguridad dentro de la organización, empezando por la junta directiva. Así que la próxima vez que oigas la palabra "sala de juntas", no pienses en ella como un deporte espectáculo, considérala una invitación a ser un actor estratégico en la configuración del futuro de la empresa.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
John Engates — @jengates, director técnico, Cloudflare
Después de leer este artículo podrás entender:
El cambio de paradigma de la seguridad como departamento a una cultura de toda la empresa
Cómo elevar el diálogo sobre seguridad en la sala de juntas
La importancia del impacto sobre las cifras
De la complejidad de las siglas a la práctica: desmitificamos el modelo de seguridad Zero Trust
Conectar la ciberseguridad con el valor estratégico empresarial