La batalla por ser escuchados: estrategias para que los CISOs mejoren su credibilidad ante la junta directiva.

En la actualidad, gestionar un negocio se ha vuelto cada vez más complicado. La breve sensación de alivio tras la pandemia fue rápidamente eclipsada por una inflación descontrolada, tasas de interés elevadas, incertidumbre empresarial y volatilidad geopolítica. En medio de este panorama, lo último que una organización necesita es el robo de información crítica o la paralización de sus sistemas por un ciberataque. Este riesgo se ve amplificado si un proveedor clave enfrenta la misma situación. Un ataque de ransomware a un proveedor del NHS en junio evidenció las consecuencias devastadoras que puede tener una violación de este tipo.

Por esta razón, los CISOs (Chief Information Security Officers) en el país están luchando por defender la necesidad de mejorar la ciberresiliencia. Sin embargo, su tarea no resulta fácil, ya que primero deben convencer a una junta directiva escéptica, que a veces se muestra hostil.

La ciberresiliencia implica abordar las deficiencias en personas, procesos y tecnología, garantizando que una organización pueda seguir operando de manera efectiva, incluso si es objeto de un ciberataque prolongado y sofisticado. Esto incluye mejorar la higiene cibernética mediante prácticas recomendadas como la autenticación multifactor (MFA), la capacitación regular sobre seguridad, copias de seguridad, cifrado, medidas antimalware y parches rápidos. Este enfoque de "prevención" debe complementarse con detecciones y respuestas rápidas para mitigar las amenazas que puedan colarse y recuperar la operatividad antes de que se produzcan daños significativos.

Lamentablemente, esto representa un desafío creciente, ya que la expansión de las inversiones digitales amplía la superficie de ataque típica de las empresas. El año pasado, la mitad de las empresas en el Reino Unido sufrió al menos un ciberataque o violación de datos, cifra que aumentó al 70% en empresas medianas y al 74% en grandes corporaciones, según cifras gubernamentales. Aunque el ransomware no es la única amenaza, se ha convertido en la más significativa, con el National Cyber Security Centre (NCSC) advirtiendo un incremento en el riesgo debido al uso de herramientas de inteligencia artificial por parte de los actores maliciosos. Este panorama se ha convertido en un riesgo existencial para algunas empresas, ya que la pérdida de propiedad intelectual o datos sensibles de clientes y empleados puede tener un impacto financiero y reputacional duradero.

La inversión en ciberresiliencia debería ser una prioridad clara para los CISOs, pero en la práctica, la situación es más compleja. Para que la estrategia de ciberseguridad funcione adecuadamente, es crucial que el líder de seguridad o IT sea escuchado y comprendido. La junta debe respaldar su visión y reconocer la importancia crítica de manejar adecuadamente el riesgo cibernético. Sin embargo, investigaciones indican que muchas juntas permanecen desinteresadas, considerando la ciberseguridad solo como un riesgo tecnológico. Aproximadamente el 80% de los CISOs afirman que la junta solo actuaría ante un incidente real, lo que a menudo se traduce en soluciones puntuales que no abordan los desafíos fundamentales.

La falta de conciencia sobre los riesgos cibernéticos también recae sobre las juntas. Aunque los reguladores están exigiendo una mayor responsabilidad personal por incidentes cibernéticos, aún queda mucho por hacer. Al mismo tiempo, algunos CISOs contribuyen al problema al presentar métricas irrelevantes y jerga técnica, lo que dificulta la conexión con una audiencia empresarial que busca respuestas claras sobre la seguridad actual y cómo mejorarla.

Para cerrar esta brecha de credibilidad, es fundamental que los líderes de seguridad simplifiquen su comunicación, alineen la ciberseguridad con los riesgos empresariales y establezcan objetivos claros que sean comprensibles para los miembros de la junta. Una buena estrategia incluye utilizar métricas adecuadas. Al consolidar varias soluciones en una plataforma única de gestión de riesgos cibernéticos, es posible crear una fuente única de verdad para reportes coherentes y consistentes. Lo ideal sería contar con una solución que calcule el riesgo con base en la superficie de ataque, la exposición de usuarios y la configuración de seguridad, además del impacto general en la empresa. Esto permitiría un mapeo constante de los riesgos y la implementación de acciones automatizadas para cerrar brechas que se presenten, como vulnerabilidades o configuraciones incorrectas.

Los resultados podrían ser presentados en un panel ejecutivo que facilite la comprensión de conceptos complejos como la configuración errónea en la nube o la compromisión de cuentas. Este enfoque facilita una mejor alineación entre la seguridad y los objetivos empresariales, lo cual podría, a largo plazo, mejorar la ciberresiliencia. Aunque el camino puede ser largo para algunas empresas, los riesgos de no actuar son considerablemente mayores.