ES
ES EN FR DE JA AR
Inicio | Blog | Cómo navegar las reuniones de la junta directiva: una guía para directores de seguridad de la información

Cómo navegar las reuniones de la junta directiva: una guía para CISOs

Escrito por: Orlaith Traynor

9 minutos de lectura28 de agosto de 2024

Los Directores de Seguridad de la Información (CISO) son los responsables de la ciberseguridad de cada organización. Y cuando se trata de la sala de juntas, cada CISO debe ser capaz de comunicar claramente todos los aspectos de la gestión de riesgos a la junta directiva.

Las conversaciones a nivel de junta directiva y de alta dirección son un espacio para compartir experiencia en ciberseguridad, señalar cualquier vulnerabilidad y contribuir a la toma de decisiones.

En este manual introductorio de preguntas frecuentes, aprenderá cómo prepararse para una reunión de junta directiva corporativa, para que pueda compartir sus ideas con confianza y mantener informados a los líderes empresariales.

1. ¿Cuál es el rol de un CISO en las juntas directivas?

Un CISO es como el “puente” que conecta la ciberseguridad de una organización con la gobernanza corporativa y la legislación. En otras palabras, el CISO existe para garantizar que cada empresa gestione sus ciberriesgos de manera compatible.

Cuando se trata de actualizar a los directores del consejo, el CISO debe compartir:

  • Amenazas emergentes: Estos son los riesgos cibernéticos a los que la empresa podría enfrentarse, como ataques de ransomware o interrupciones en la cadena de suministro.
  • Vulnerabilidades actuales: Los riesgos cibernéticos que tienen mayor probabilidad de ocurrir, basándose en las medidas de seguridad actuales de la organización
  • Estrategias de gestión de riesgos: Las iniciativas que se están tomando para contrarrestar estos riesgos cibernéticos
  • Cumplimiento Si la empresa cumple actualmente con la legislación y las normas del sector (más sobre esto en la siguiente sección)
  • Tendencias futuras y puntos de referencia: Cómo evoluciona el panorama de la ciberseguridad, por ejemplo, con la IA generativa, la transformación digital o el Internet de las Cosas (IoT), y qué pueden hacer las empresas para estar preparadas

2. ¿Qué legislación estadounidense deben conocer los CISO?

Cada país tiene sus propias reglas y regulaciones, pero aquí hay algunas leyes específicas de EE. UU. que todo CISO debería conocer para estar preparado para la junta directiva.

  1. La Ley de Portabilidad y Responsabilidad de Seguros Médicos (Ley de Portabilidad y Responsabilidad del Seguro Médico): Una ley para proteger la confidencialidad de la información de salud de los pacientes.
  2. La Ley Gramm-Leach-Bliley Ley de Privacidad Financiera de Gramm-Leach-Bliley: Una legislación que exige a todas las instituciones financieras comunicar cómo comparten la información y salvaguardan los datos de sus clientes.
  3. La Ley Sarbanes-Oxley (SOX): Un conjunto de regulaciones de auditoría y financieras que deben seguir las empresas públicas.
  4. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (DSS PCI): Una serie de estándares y recursos de seguridad de datos para facilitar pagos seguros para todos.

Esta no es una lista exhaustiva, ya que cada industria tendrá su propio conjunto de estándares. Cada CISO y experto en ciberseguridad debe tener un conocimiento integral de estos, ya que esto guiará sus iniciativas y toma de decisiones.

3. ¿Cómo deben prepararse los CISO para las reuniones del consejo?

Las reuniones con los directores corporativos pueden parecer abrumadoras, pero con la preparación adecuada de antemano, cualquier CISO o equipo de seguridad puede manejarlas con soltura.

En primer lugar, deberían recopilar métricas relevantes de ciberseguridad. Usar datos ayudará a convencer a los directores de la junta de las mejores estrategias e iniciativas a seguir. (Hablaremos más sobre métricas en la FAQ #6.)

En segundo lugar, deberían prepárese para cualquier pregunta que las personas en roles de junta directiva podrían hacer. Al anticipar consultas y objeciones, pueden compartir con confianza su experiencia cibernética de inmediato.

Y finalmente, los CISO deberían ten en cuenta cómo está cambiando la ciberseguridad. Mantenerse al tanto de los últimos conocimientos brindará a los directores y partes interesadas la tranquilidad, sabiendo que están un paso adelante en el juego.

Por ejemplo, puedes leer la CybelAngel de Informe de ciberseguridad 2024 para comprender el panorama actual y utilizarlo para informar su estrategia para este año.

Lee el de CybelAngel Informe de ciberseguridad 2024 para comprender el panorama actual de la ciberseguridad.

4. ¿Cuáles son los componentes esenciales de una presentación de un CISO?

Aquí tienes un cuestionario para ayudarte a preparar tu presentación para los asientos del consejo de administración con más detalle.

  1. Métricas de ciberseguridad: ¿Qué muestran los datos (por ejemplo, el número de incidentes de seguridad o los tiempos de respuesta)? ¿Necesita cambiar algo?
  2. El panorama de amenazas: ¿Cuáles son los principales riesgos cibernéticos a tener en cuenta ahora mismo? ¿Qué tendencias están surgiendo?
  3. Medidas de ciberseguridad actuales: ¿Qué estamos haciendo para evitar estos riesgos cibernéticos? ¿Cuáles son nuestras fortalezas y debilidades?
  4. Planes de respuesta a incidentes: ¿Qué pasa si hay un ciberataque? ¿Cómo lo abordamos de frente? ¿Y hemos hecho ya alguna simulación al respecto?
  5. Actualizaciones sobre el esfuerzo de cumplimiento: ¿Cumplimos con la gobernanza corporativa y las leyes actuales? ¿Cuándo fue la última vez que auditamos esto, o que obtuvimos una certificación o una evaluación?
  6. Mirando hacia el futuro: ¿Qué iniciativas estamos planeando para los próximos meses? ¿Cómo se alinean estas con los objetivos comerciales más amplios de la junta directiva?

5. ¿Qué métricas deben informar los CISO a la junta directiva?

Debería resaltar las métricas de ciberseguridad que son relevantes para los miembros de la junta directiva, incluyendo (pero no limitándose a):

  • Número y gravedad de los incidentes de seguridad: Esto demuestra cuán efectivas son tus medidas actuales.
  • Tiempos de respuesta a incidentes: Este es un indicador de cuán efectivamente puedes detectar y resolver una amenaza
  • Métricas de cumplimiento: Estos muestran el grado en que usted cumple con la legislación actual.
  • Exposición al riesgo de activos críticos: Esto revela la probabilidad de que tus datos sean comprometidos.
  • Retorno de la inversión (ROI) en ciberseguridad: Esto puede justificar su uso de medidas de ciberseguridad y mostrar el beneficio financiero para el negocio

6. ¿Cómo pueden los CISO comunicarse eficazmente con la junta directiva?

Recuerda: ¡no todo el mundo tiene una educación avanzada en ciberseguridad! Los miembros de la junta directiva podrían no entender toda tu experiencia técnica, por lo que es esencial desglosar la información de una manera accesible y fácil de relacionar.

Primero, asegúrate de que usa lenguaje claro. Las palabras técnicas de moda pueden sonar inteligentes para ti, pero no ayudarán a tu audiencia. No trates al consejo de administración con condescendencia, pero igualmente, mantén tus explicaciones claras y sencillas para evitar confusiones.

Además de esto, siempre deberías Intenta dar ejemplos y apoyos visuales para mostrar su trabajo. Además, puede compartir estudios de caso. Por ejemplo, incluso Microsoft sufrió un ciberataque en enero, y LinkedIn tuvo una filtración de datos para 500 millones de usuarios el año pasado, ¡demostrando que nadie es inmune! Historias como esta resaltarán la importancia de tu papel.

Finalmente, enlace a los objetivos principales del negocio. La junta directiva podría no entender todos los aspectos de la ciberseguridad. Pero si puedes conectarlo con sus objetivos más amplios, como la rentabilidad o la escalabilidad, entonces tus ideas resonarán mucho más. Exploraremos esto más a fondo en la Pregunta Frecuente #11.

7. ¿Cuáles son los desafíos comunes que enfrentan los CISO durante las reuniones de la junta directiva?

Los CISO, CIO y líderes de seguridad a menudo tienen tiempo limitado para compartir su experiencia cibernética. Una solución para esto es ser conciso y centrarse en las ideas y recomendaciones clave.

Además, un falta de experiencia técnica entre los miembros de la junta puede ser un inconveniente para los CISO. Como se detalla en la última sección, deben encontrar formas de comunicarse claramente, sin ser condescendientes.

Finalmente, algunos miembros de la junta pueden no querer invertir en ciberseguridad. En general, esto se debe a que no entienden su rentabilidad, y aprenderás a resolver esto en la Pregunta Frecuente #11.

8. ¿Cómo pueden los CISO abordar las preocupaciones de los miembros de la junta sobre la ciberseguridad?

Los miembros de la junta podrían cuestionar si la ciberseguridad vale la pena o si realmente tiene un impacto. Además, solo 3 de cada 10 directores confianza en que la junta podría manejar eficazmente una crisis cibernética. El 60% de los encuestados en la encuesta de Spencer Stuart citó la ciberseguridad como un tema beneficioso para el desarrollo, la capacitación y la educación de los directores.

Aquí tienes tres maneras de abordar esto.

  1. Comparte ejemplos de amenazas de ciberseguridad: Cuenta historias reales de incidentes de ciberseguridad y habla sobre las implicaciones de un ataque.
  2. Demostrar el ROI de las iniciativas de ciberseguridad: Exhiba los ahorros de costos y la reducción de riesgos. Por ejemplo, los servicios de ciberseguridad costo 8% del gasto promedio para recuperarse de un ataque de ransomware. En otras palabras, más vale prevenir (y es más barato) que curar.
  3. Educa proactivamente a tu empresa: Ejecutar sesiones informativas o talleres para ayudar a los miembros de la junta a comprender en detalle los principios y la importancia de la ciberseguridad.

9. ¿Cuáles son las mejores prácticas para interactuar con la junta directiva fuera de las reuniones formales?

¡Interactuar con los miembros de la junta fuera de estas reuniones no solo se fomenta, sino que es esencial! Cuanto más comunicativos sean los CISO, más podrán estar al tanto con la junta directiva.

Los CISO deben animar a los miembros de la junta directiva a programar reuniones individuales, sesiones informativas y de capacitación cada vez que lo deseen. Esto mantendrá a todos al tanto y reforzará la importancia de la ciberseguridad en toda la empresa.

10. ¿Cómo deben los CISO manejar incidentes de ciberseguridad sensibles durante las reuniones del consejo?

Los incidentes de ciberseguridad pueden ser delicados, y los CISO necesitan encontrar un equilibrio entre ser transparentes, al tiempo que mantienen la confidencialidad y se comunican de manera efectiva.

Aquí tienes cinco mejores prácticas para ayudarte a hacerlo bien.

  1. Mantén la calma y la profesionalidad Las emociones pueden alterarse fácilmente en momentos de estrés. Pero en su lugar, mantén la calma y reitera tu confianza en que el incidente se puede manejar.
  2. Comparte actualizaciones de alto nivel: Proporcionar una descripción general de lo que sucedió, cuáles podrían ser los impactos y los pasos que se están tomando para manejarlo.
  3. Mencione las implicaciones legales y de confidencialidad. Esboce los requisitos legales durante este tiempo y recuerde a la junta que respete las regulaciones de confidencialidad a toda costa.
  4. Comparte tranquilidad y próximos pasos: Confirme que el problema se está gestionando como máxima prioridad y describa cómo está mitigando los daños y evitando que vuelva a ocurrir.
  5. Entregar actualizaciones periódicas: Mantén a la junta informada de todo el progreso. Esto reforzará la confianza y les hará saber cómo evoluciona la situación.

11. ¿Cómo pueden los CISO alinear las iniciativas de ciberseguridad con los objetivos comerciales?

Alinear tus iniciativas de ciberseguridad con la estrategia general del negocio ayudará a que todos se unan.

Por ejemplo, puede:

  • Revisa tus objetivos de negocio: Y describir cómo la ciberseguridad complementará y salvaguardará estos objetivos.
  • Compartir métricas de éxito: Establecer KPIs para mostrar cómo sus esfuerzos complementan los resultados del negocio, como una mayor confianza del cliente
  • Enfócate en el impacto comercial, no en la información técnica: Comunicarse en términos comerciales resonará más con los miembros de la junta.
  • Demostrar el ROI Muestre cómo la inversión en ciberseguridad es mucho más barata que el costo de una brecha de datos, y que puede proteger el valor y la reputación de la empresa
  • Involucra a todos Asegurarse de que todos los departamentos estén invertidos en ciberseguridad, como ofrecer sesiones de capacitación y conferencias periódicas.

12. ¿Qué recursos pueden ayudar a los CISO a prepararse para las reuniones del consejo?

Prepararse para una reunión a nivel de junta directiva puede ser estresante, así que aquí tienes 7 recursos para simplificar todo el proceso.

El Marco de Ciberseguridad del NIST.
  1. El Marco de Ciberseguridad del NIST: Un conjunto de directrices de ciberseguridad del Instituto Nacional de Estándares y Tecnología de EE. UU.
  2. EC-Council: Una plataforma de certificación para CISOs, diseñada para ayudarlos a “capacitarse para la alta dirección”.”
  3. Gartner: Obtén los últimos informes y hojas de ruta diseñados para CISOs en 2024.
  4. Dark Reading: Un sitio de noticias de la comunidad de ciberseguridad para mantenerse al día con los últimos desarrollos en todo el mundo.
  5. CSOonline: Un sitio de noticias de ciberseguridad para mantenerte al día sobre las tendencias e historias más recientes.
  6. TechTarget – Search CIO: Un sitio de noticias sobre transformación digital, TI y gestión de riesgos para Directores de Información (CIO).
  7. El blog de CybelAngel: Un blog dedicado a la ciberseguridad de EASM, cubriendo todo, desde el squatting de dominios hasta la dark web y más allá.

13. ¿Cuáles son las consecuencias de no comunicarse eficazmente con la junta directiva?

El rol de todo CISO se sustenta en la comunicación, la comunicación… y más comunicación. Cuando un CISO no logra comunicarse eficazmente con la junta directiva, esto puede acarrear consecuencias para toda la empresa.

En primer lugar, la organización será más vulnerable a las ciberamenazas. Si el consejo no comprende los riesgos de ciberseguridad, entonces puede ser menos propenso a invertir en iniciativas de seguridad, lo que hace que la empresa sea más vulnerable a las filtraciones de datos, los ataques de ransomware y más.

En segundo lugar, el negocio puede ser más probablemente enfrente multas y sanciones regulatorias. Si la junta directiva no prioriza el cumplimiento, algunos estándares podrían pasar desapercibidos y esto podría generar multas y daños a la reputación más adelante.

Los accionistas de Yahoo tomaron medidas en 2019 con el New York Times informando que, “Los ex oficiales y directores de Yahoo acordaron pagar $29 millones para resolver cargos de que incumplieron sus deberes fiduciarios en el manejo de datos de clientes durante una serie de ciberataques desde 2013 hasta 2016.”

En tercer lugar, la empresa la reputación podría sufrir. Sin las medidas de ciberseguridad adecuadas, una marca podría perder su integridad, lo que a su vez podría afectar la confianza de los clientes e inversores, junto con las futuras oportunidades de negocio.

14. ¿Cómo pueden los CISO mejorar su perfil en preparación para las reuniones de la junta directiva?

Para posicionarse como un experto y ganarse la confianza de los miembros de la junta, es importante cultivar su imagen profesional, tanto durante como entre las reuniones.

Por ejemplo, puedes…

  • Expande tu red: Asiste a eventos de la industria, interactúa con la comunidad de CISOs y contacta a figuras influyentes en tu nicho.
  • Pedir quedarse en la reunión completa: Esto significa que puedes construir relaciones con la junta directiva y comprender mejor los objetivos comerciales generales.
  • Trabaja en tus habilidades de liderazgo y comunicación: Este conocimiento te ayudará a destacar y ser escuchado en la sala de juntas.

Al ampliar tu lista de contactos, estar presente durante toda la reunión y desarrollar tus habilidades sociales, puedes reforzar tu experiencia técnica y generar confianza con la junta directiva.

15. ¿Y si un CISO no es invitado a las reuniones de la junta directiva?

Las voces de los CISO están gravemente subrepresentadas en las reuniones de la junta directiva. De hecho, un estudio reciente encontró que solo 1.4% de empresas tenga un CISO en su consejo directivo, aunque la ciberseguridad literalmente pueda “hacer o deshacer” la imagen de una marca.

Esto significa que Los CISO deben impulsar proactivamente su participación en las reuniones de la junta directiva. para asegurar que la ciberseguridad siga siendo una prioridad. Esto podría significar establecer contactos con los miembros de la junta para plantear el tema. También podría significar preparar una presentación para justificar su presencia en estas reuniones.

Toma medidas proactivas para destacar la importancia de tu función y por qué también debería importarle a la junta directiva. Recuerda que el éxito de toda la empresa depende de ello, así que no tengas miedo de pujar por un asiento en la junta.

(Te lo agradecerán más tarde.)

Conclusión

Despite current trends, CISOs should be a part of every single board meeting. Their technical expertise will help board directors make the right decisions and keep their business safe.

If you’re a CISO getting ready for a board-level meeting, remember to:

  • Focus on the business objectives: When your cybersecurity initiatives are aligned with the company’s goals, the board is more likely to pay attention
  • Prioritize collaboration and transparency: Nurture your links with board members and encourage them to reach out to you anytime
  • Communicate clearly: Avoid technical jargon and explain everything in clear, simple terms so that everyone is on the same page

And remember, if you aren’t invited to board meetings, this is your sign to change that. CISO expertise is vital to the functioning of any company, and board members will benefit from your insights.

Sobre el autor

Orlaith Traynor

Orlaith es una estratega de marketing de contenidos B2B con sede en París especializada en ciberseguridad y tecnología, con gran experiencia en SEO, AEO, planificación editorial y gestión de CMS. Tras haber dirigido contenidos en empresas como CybelAngel y PhantomBuster, ayuda a las marcas tecnológicas a crear estrategias de contenidos que impulsan la visibilidad orgánica y la confianza de los compradores en mercados competitivos.

lee todos los artículos