Sepa cómo responder a las preguntas de seguridad más probables de su junta.
¿Qué tan seguros estamos? ¿Por qué necesitamos más dinero para seguridad, cuando acabamos de aprobar X el año pasado? ¿Qué quiere decir que hemos tenido cuatro incidentes? Pensé que tenías todo bajo control.
Lo más probable es que la mayoría de los líderes de seguridad y riesgo hayan escuchado estas preguntas, posiblemente varias veces, de sus juntas directivas.
Recientemente, las juntas han pedido orientación a los líderes de seguridad y riesgo sobre cómo navegar una pandemia global, mayores amenazas de phishing y, potencialmente, una fuerza laboral no acostumbrada a trabajar desde casa.
"El problema es que estas preguntas no tienen respuesta", dijo Sam Olyaei , director analista de Gartner. "Están motivados por información pública exagerada, incompleta o contradictoria y son una distracción de las preguntas más relevantes".
¿Estamos 100% seguros? ¿Estás seguro?
En 2020, el 96% de las organizaciones de $ 1B + informaron al consejo al menos una vez durante el año pasado. Las juntas de hoy están más informadas sobre el ciberristo, ya que solo el 15% de los directores informan que sus juntas tienen muy poco o ningún conocimiento del ciberristo, en comparación con el 22% en 2015.
Además, las juntas están utilizando el mayor enfoque en la ciberseguridad para guiar las decisiones comerciales. En 2019, una encuesta de Gartner de líderes de seguridad y riesgo descubrió que cuatro de cada cinco encuestados notaron que el riesgo influye en las decisiones tomadas a nivel de la junta.
Además, los líderes de seguridad deben poder darle a la junta algo que les interese y que sea significativo para ellos. Más allá de las pasiones e inquietudes individuales, los consejos colectivamente generalmente se preocupan por tres cosas:
Ingresos / misión: ingresos operativos o no operativos y mejora de los objetivos de la misión no tributaria
Costo: evitación de costos futuros y disminución inmediata de los gastos operativos
Riesgo: financiero, de mercado, cumplimiento normativo y seguridad, innovación, marca y reputación
"A medida que los miembros de la junta se dan cuenta de la importancia de la seguridad y la gestión de riesgos, les hacen preguntas más complejas y matizadas a los líderes", dijo Olyaei. "Las juntas de hoy están cada vez más informadas y más preparadas para desafiar la efectividad de los programas de sus empresas".
La mayoría de las preguntas de la junta se pueden clasificar en cinco áreas.
La pregunta del incidente
Cómo suena: ¿Cómo sucedió esto? ¿Pensé que tenías esto bajo control? ¿Qué salió mal?
Por qué se hace: Estas preguntas se hacen cuando ocurre un incidente o evento y la junta ya lo sabe o el CISO les informa al respecto. Esto es particularmente relevante para los CISO durante la pandemia de COVID-19, cuando las juntas pueden hacer preguntas específicas para asegurar la organización mientras grandes porciones de empleados trabajan desde su casa en condiciones inusuales. Esto también podría ser en referencia a cualquier otro incidente, incluidas las violaciones de datos que pueden haber afectado a la organización en general.
Cómo responder: un incidente (independientemente de la categoría) es inevitable, así que sea fáctico. Comparta lo que sabe y lo que está haciendo para descubrir cualquier cosa que no sepa actualmente. En resumen, reconozca el incidente, proporcione detalles sobre el impacto comercial, describa las debilidades o lagunas que deben resolverse y proporcione un plan de mitigación.
Tenga cuidado de no respaldar una opción como la mejor opción cuando esté frente al tablero. La responsabilidad de la supervisión de la seguridad y el riesgo permanece con el líder de seguridad, pero la responsabilidad siempre debe definirse a nivel de la junta / ejecutivo.
La pregunta de compensación
Cómo suena: ¿Somos 100% seguros? ¿Estás seguro?
Por qué se hace: Preguntas como esta a menudo son hechas por miembros de la junta que realmente no entienden la seguridad y el impacto en el negocio. Es imposible estar 100% seguro o protegido. La función del CISO es identificar las áreas de mayor riesgo y asignar recursos finitos para administrarlas en función del apetito comercial.
Cómo responder: Comience con algo como: “Considerando la naturaleza en constante evolución del panorama de amenazas, es imposible eliminar todas las fuentes de riesgo de información. Mi función es implementar controles para gestionar el riesgo. A medida que nuestro negocio crece, tenemos que reevaluar continuamente cuánto riesgo es apropiado. Nuestro objetivo es construir un programa sostenible que equilibre la necesidad de proteger contra la necesidad de administrar nuestro negocio ".
La pregunta del paisaje
Cómo suena: ¿Qué tan malo está ahí afuera? ¿Qué pasa con lo que pasó en la compañía X? ¿Cómo nos comparamos con los demás?
Por qué se pregunta: los miembros de la junta encontrarán informes de amenazas, artículos, blogs y presiones regulatorias para comprender los riesgos. Siempre preguntarán qué están haciendo los demás, especialmente las organizaciones pares. Quieren saber cómo es el "clima" y cómo se comparan con los demás.
Cómo responder: evite adivinar la causa raíz de un problema de seguridad en una compañía diferente diciendo: “No quiero especular sobre el incidente en la Compañía XYZ hasta que haya más información disponible, pero me complacerá hacer un seguimiento contigo cuando sepa más. Considere discutir una serie de respuestas de seguridad más amplias, como identificar una debilidad similar y cómo se está arreglando o actualizar los planes de continuidad del negocio.
La pregunta de riesgo
Cómo suena: ¿Sabemos cuáles son nuestros riesgos? Que te mantiene despierto en la noche?
Por qué se pregunta: la junta sabe que aceptar el riesgo es una opción (si no lo hacen, ese es un desafío que debe resolver). Quieren saber que los riesgos de la compañía se están manejando. Los CISO deben estar preparados para explicar la tolerancia al riesgo de la organización para defender las decisiones de gestión de riesgos.
Cómo responder: explique el impacto comercial de las decisiones de gestión de riesgos y asegúrese de que sus posiciones estén respaldadas por evidencia. La segunda parte es vital porque las juntas toman decisiones basadas en la tolerancia al riesgo. Cualquier riesgo fuera del nivel de tolerancia requiere un remedio para ponerlos dentro de la tolerancia. Esto no requiere necesariamente cambios dramáticos en cortos períodos de tiempo; Cuidado con la reacción exagerada.
La junta buscará garantías de que los riesgos materiales se están manejando adecuadamente, y que los enfoques sutiles a largo plazo pueden ser apropiados en algunos casos. Recuerde, la junta es responsable del riesgo "empresarial", del cual el ciberriesgo constituye un componente pequeño, aunque importante, de la organización. Ponte a prueba para ser breve y al grano. La falta de control no es un riesgo, y tampoco lo es la próxima gran amenaza. Concéntrese en los artículos importantes que controla (¿Pérdida de IP? ¿Regulación? ¿Riesgo de terceros?).
La pregunta de rendimiento
Cómo suena: ¿Estamos asignando los recursos adecuadamente? ¿Estamos gastando lo suficiente? ¿Por qué estamos gastando tanto?
Por qué se pregunta: La junta querrá asegurarse de que los líderes de seguridad y gestión de riesgos no se queden quietos. Los miembros de la junta querrán saber sobre métricas y ROI.
Cómo responder: utilice un enfoque de cuadro de mando integral en el que la capa superior exprese las aspiraciones comerciales y el desempeño de la organización frente a esas aspiraciones se ilustra utilizando un mecanismo simple de semáforo. En la medida de lo posible, explique las aspiraciones en términos de rendimiento empresarial, no de tecnología. El rendimiento se basa en una serie de medidas de seguridad que se evalúan utilizando un conjunto de criterios objetivos.
Este artículo ha sido actualizado del original, publicado el 19 de agosto de 2019, para reflejar nuevos eventos, condiciones o investigaciones.
Comentarios
Publicar un comentario