La mayoría de los directorios corporativos carecen de expertos con las habilidades adecuadas para supervisar el riesgo cibernético. Las nuevas regulaciones de la SEC hacen que corregir esa deficiencia sea más urgente.

En un contexto de ciberataques persistentes, y alentados por nuevas regulaciones, las juntas corporativas están luchando por crear mejores capacidades para supervisar la gestión de riesgos de ciberseguridad.1 

Si bien esta es una buena noticia para un gobierno corporativo saludable, presenta desafíos inmediatos. Esto para las empresas que buscan identificar y reclutar nuevos directores con la combinación adecuada de habilidades, experiencia y contactos.

Dada la importancia del riesgo de ciberseguridad, hace tiempo que se debe prestar mayor atención a las habilidades y la composición de la junta directiva.

Los encuestados en la Encuesta Anual de Directores Corporativos de 2023 de PwC calificaron el riesgo de ciberseguridad en segundo lugar después de los riesgos estratégicos/disruptivos como un desafío importante para su junta directiva.

El 64 por ciento informó que había aumentado la cantidad de tiempo de las reuniones de la junta directiva dedicado al tema en los últimos 12 meses. Sin embargo, solo el 19 por ciento dijo que había agregado un nuevo miembro a la junta directiva con experiencia en ciberseguridad durante el año pasado.

¿Qué riesgos corren las empresas cuyos directivos no saben sobre ciberseguridad?

Los directivos de empresas públicas que carecen de experiencia estratégica en ciberseguridad podrían ser más vulnerables a los ataques de los hackers. Esa exposición pronto será más evidente para los inversionistas y los clientes potenciales que realizan la debida diligencia.

En julio de 2023, la Comisión de Bolsa y Valores de Estados Unidos (SEC) adoptó nuevas reglas que exigen divulgaciones rápidas y completas sobre ciberseguridad. Comenzaron con los formularios 10-K presentados después del 15 de diciembre de 2023.3

Las nuevas reglas exigen divulgaciones sobre cómo se identifican y gestionan los riesgos de ciberseguridad. Además del papel de la dirección en la implementación de políticas y procedimientos de seguridad.

Ahora se exige a las empresas que describan la supervisión que realiza la junta de los riesgos derivados de las amenazas a la ciberseguridad y el nivel de experiencia de los directores.4

Los estrategas de ciberseguridad de la junta necesitan capacidades diversas

El problema es que, si bien muchas juntas directivas saben que necesitan contratar a un director con conocimientos de ciberseguridad, no saben muy bien qué implica el puesto ni qué experiencia se requiere.

A continuación, analizaremos las facetas clave del papel de un especialista en ciberseguridad en la junta directiva y las calificaciones que se deben buscar.

1. EXPERIENCIA TÉCNICA ENRIQUECIDA POR EL CONTEXTO DE LA INDUSTRIA

La calificación más fundamental para un miembro experto de la junta es la comprensión de los detalles esenciales de las amenazas, vulnerabilidades y mejores prácticas técnicas para mejorar las defensas y la resiliencia en materia de ciberseguridad.

Ese conocimiento también les permite comprender cómo podría manifestarse el ataque en un entorno empresarial particular: qué quieren los atacantes y a qué apuntarán probablemente.

También deben tener una comprensión sofisticada de cómo compartir inteligencia sobre amenazas cibernéticas (CTI) a través de las fronteras organizacionales.

El ciberestratega comprende el valor que ofrece la CTI oportuna y que aplicar el principio “si ve algo, dilo” puede reducir los efectos dominó en la cadena de suministro de información, productos y servicios.

¿DE QUÉ TRATA LA CIBERSEGURIDAD?

La ciberseguridad no se trata solo de responder a amenazas inmediatas. También implica planificar con anticipación e implementar medidas preventivas guiadas por estándares y regulaciones de la industria, como las del Instituto Nacional de Estándares y Tecnología (NIST), la Organización Internacional de Normalización (ISO), la Centro para la Seguridad de Internet y la Agencia de Seguridad de Infraestructura y Ciberseguridad.5 

Dichos marcos y regulaciones ofrecen pautas para crear sistemas seguros, y la familiaridad con ellos es una parte importante de la competencia técnica en esta área. El ciberestratega también debe tener un conocimiento sólido de los estándares relevantes para la industria particular de la organización.

Evaluar a los candidatos por experiencia técnica que demuestre su capacidad para asesorar en decisiones estratégicas. Busca lo siguiente:

  • Puestos ocupados que requieren familiaridad con habilidades y herramientas fundamentales de ciberseguridad
  • Experiencia trabajando en estándares técnicos de ciberseguridad, políticas gubernamentales o grupos de trabajo asesores
  • Educación (como una licenciatura o un título avanzado en ciberseguridad, informática o sistemas de información)
  • Capacitación y certificación técnica acreditada, como Gerente certificado de seguridad de la información (CISM) o Profesional certificado en seguridad de sistemas de información (CISSP).

2. PERSPICACIA PARA LOS NEGOCIOS, INCLUIDA LA GESTIÓN DE RIESGOS

Alinear los objetivos de ciberseguridad con objetivos comerciales más amplios requiere un pensamiento estratégico sobre la reducción de los riesgos para lograr esos objetivos.

Por ejemplo, el ciberestratega puede identificar y evaluar las perspectivas y los riesgos asociados con la integración de tecnología empresarial adquirida a través de fusiones y adquisiciones.

El ciberestratega debe tener un conocimiento profundo de los objetivos comerciales estratégicos. Además debe ser capaz de articular cómo los activos de ciberseguridad pueden ayudar a lograr esos objetivos. Es crucial tener la capacidad de comprender y evaluar el “radio de explosión” de posibles eventos cibernéticos.

3. COMUNICACIÓN EFECTIVA ENTRE LOS GRUPOS DE PARTES INTERESADAS

Las habilidades de comunicación del ciberestratega son quizás las más esenciales para ayudar a la junta directiva a comprender la materialidad de los riesgos cibernéticos y sus posibles consecuencias financieras, legales y de reputación.

Como nos dijo un CISO y un miembro de la junta directiva, nadie en la junta entiende realmente lo que significa tener más de 200 vulnerabilidades sin parches. Pero sí entienden lo que significa tener una responsabilidad agregada de 400 millones de dólares si esas vulnerabilidades no se abordan.

El miembro experto de la junta debería poder brindar ese tipo de contexto, con la ayuda del director financiero y el abogado general.

TRADUCIR LOS POSIBLES RIESGOS Y CONSECUENCIAS

La comunicación impactante de un ciberestratega se extiende en ambas direcciones: hacia la junta directiva en nombre de los equipos técnicos y hacia el personal de ciberseguridad u otro personal técnico en nombre de la junta directiva.

En ese sentido, el ciberestratega debe capacitar al CIO, al CISO y a otros y generar confianza para que sean eficaces a la hora de explicar cuestiones relevantes de ciberseguridad.

Fomentar este tipo de comunicación ayuda a promover una cultura que le da al CISO confianza para acudir a la junta con solicitudes claras y proporcionar los detalles necesarios para respaldarlas.

4. UNA RED SÓLIDA EN LA COMUNIDAD DE LA CIBERSEGURIDAD

Es esencial que un especialista en ciberseguridad eficaz en la junta tenga fuertes vínculos con pares y partes interesadas clave en la investigación y el gobierno.

Mantener una red sólida es clave para poder analizar minuciosamente el entorno de amenazas en evolución y utilizar esos conocimientos para fundamentar decisiones comerciales estratégicas, porque mucha información útil es compartida por contactos de confianza.

“Debe tener una buena reputación en el ecosistema en cuanto a utilizar la información que obtiene y brindar buena información”, nos dijo un CISO y miembro veterano de la junta.

5. PENSAMIENTO INNOVADOR Y CONCIENCIA DE LAS TECNOLOGÍAS EMERGENTES

Eso podría significar sugerir que los especialistas en seguridad de la compañía realicen un análisis de riesgo exhaustivo sobre una nueva herramienta de IA o una reconfiguración del sistema, agregó.

El ciberestratega debe mantenerse informado de manera proactiva sobre las últimas tendencias y avances en tecnología. Particularmente aquellos relevantes para la industria de la organización.

Esto incluye mantenerse al tanto de las tecnologías emergentes para identificar oportunidades potenciales de innovación y comprender los riesgos asociado.

Por ejemplo, monitorear los avances en la computación cuántica que se espera que eventualmente rompan los métodos de cifrado de datos que se utilizan actualmente. Cuando se proponen nuevas tecnologías o proyectos, el ciberestratega debe abogar por evaluar las posibles implicaciones en materia de ciberseguridad.

REFERENCIAS (5)

1. “ La SEC adopta reglas sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por parte de empresas públicas ”, Comisión de Bolsa y Valores de EE. UU., 26 de julio de 2023, www.sec.gov; “ Estrategia Nacional de Ciberseguridad ”, archivo PDF (Washington, DC: La Casa Blanca, marzo de 2023), www.whitehouse.gov; y “ Orden ejecutiva para mejorar la ciberseguridad de la nación ”, La Casa Blanca, 12 de mayo de 2021, www.thewhitehouse.gov.

2. “ La sala de juntas de hoy: enfrentar el imperativo del cambio ”, archivo PDF (Londres: PwC, 2023), www.pwc.com.

3. “ Hoja informativa: Divulgaciones de ciberseguridad de empresas públicas; Reglas finales ”, archivo PDF (Washington, DC: Comisión de Bolsa y Valores de EE. UU., 2022), www.sec.gov.

4. M. Galligan y C. Oven, “ A New Chapter in Cyber ”, Deloitte, junio de 2022, www2.deloitte.com.

5. “ Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 (CIRCIA) ”, Agencia de Seguridad de Infraestructura y Ciberseguridad, consultado el 21 de noviembre de 2023, www.cisa.gov.