COMENTARIO
El papel del director de seguridad de la información (CISO) es hoy Este no es el papel del CISO del pasado.. El panorama de amenazas en constante cambio, la adopción de nuevas tecnologías como IA generativa (GenAI), el ritmo cada vez mayor de la regulación, los programas continuos de educación y capacitación de los empleados y el mantenimiento de la resiliencia operativa han puesto a los CISO bajo una mayor presión y estrés. Además de esto, 49% de los CISO AHORA informar a su junta directiva al menos una vez a la semana, presentándoles una nueva habilidad que deben dominar: el arte de la comunicación.
Históricamente, el apoyo de la junta directiva solo ha aumentado después de un ciberataque, lo que coloca a los CISO en un papel reactivo en lugar de proactivo. Pero con la creciente visibilidad de las infracciones, fallas de productos y consecuencias legales amplificadas por los medios, las prácticas de ciberseguridad están bajo escrutinio dentro de todas las organizaciones. Las juntas directivas ahora quieren comprender la postura de seguridad de su organización y las decisiones de seguridad que se toman al más alto nivel. Este mayor deseo requiere compromiso extendido con la juntalo que también incrementó la posición y visibilidad del CISO dentro de la empresa.
Los CISO de hoy informan a la junta directiva sobre temas que cubren la gestión de riesgos de ciberseguridad, los planes de evaluación y mitigación, las descripciones estratégicas de alto nivel, la planificación y la alineación, así como el cumplimiento normativo y los resultados de las auditorías. Esta información ayuda a las juntas directivas a comprender la preparación y la posición general de la organización en relación con las últimas directrices y amenazas regulatorias, así como la planificación futura y la alineación con la estrategia comercial general.
Aunque los CISO coinciden en que la participación de la junta directiva ayuda a impulsar cambios positivos en sus estrategias de ciberseguridad, todavía existen barreras de comunicación y conocimiento. Hablar el lenguaje de los negocios es una habilidad que muchos CISO aún necesitan desarrollar para alinearse con su junta directiva y asegurar con éxito presupuestos y recursos adicionales para sus programas.
A continuación, se incluyen algunos consejos que los CISO deben tener en cuenta al informar a su junta directiva y con los que he tenido éxito:
1. La preparación es clave
Asistir a estas reuniones con un alto grado de preparación y comprensión, con números claros. Colabore de antemano con su C-suite y garantice la alineación de estrategias específicas; esto le ayudará a posicionar sus iniciativas junto con la innovación.
2. Encuentra un aliado
Primero, trate de encontrar un oído comprensivo en la junta directiva, alguien que quiera investigar el tema y comprender un poco mejor la ciberseguridad. Realice su presentación a través de ellos con anticipación para asegurarse de entregar el nivel correcto de contenido.
3. Menos es más
La presentación debe comenzar con una descripción general de alto nivel. Comprenda que quiere decir mucho más, pero la junta no entenderá mucho. Resume todo lo que sea menos importante para que puedas llamar su atención sobre las cosas que realmente importan. Pega todos los elementos que no sean imprescindibles en el apéndice.
4. Manténgase en el tema
Distribuya copias de su presentación a cada miembro de la junta antes de presentarla y evite leer las diapositivas. En última instancia, las diapositivas se convierten en un complemento de la discusión que tiene lugar en la sala, pero es importante que avance en cada discusión de manera sucinta para asegurarse de que haya suficiente tiempo para cubrir los temas más importantes.
5. Alinee sus objetivos de ciberseguridad con sus objetivos comerciales
Alinee sus iniciativas con los objetivos comerciales y enmarquelas en términos de valor comercial, permitiendo el crecimiento, protegiendo la reputación de la marca y evitando pérdidas financieras. Muchos, si no todos, los miembros de la junta directiva no tienen la experiencia en ciberseguridad o el conocimiento técnico que usted tiene, y no entenderán la jerga tecnológica. Mejore sus mensajes y alinéelos con los objetivos comerciales clave. No se trata de lo que necesitas para liderar el ministerio; se trata de lo que necesitan para administrar el negocio.
6. Comunicarse en términos de riesgo
Alinearse con los objetivos comerciales y comunicar los riesgos en términos financieros lo ayudará a cerrar la brecha de conocimiento y a posicionarse más como un lugar valioso en la mesa. La gente entiende los números: céntrese en aquellos que generan un impacto. Su programa es una inversión, ¿cuáles son los resultados? ¿Hay áreas que necesitan más inversión – o menos?
7. Incluya información de la industria
Incluya información sobre algo que esté sucediendo actualmente o recientemente en otra empresa de su industria y lo que podría significar para usted. Si a usted le pasara lo mismo, ¿el impacto sería significativo? Esta es la pregunta a la que necesitas tener una respuesta. Centrarse en la resiliencia empresarial y operativa, así como en la preparación para las comunicaciones en caso de crisis.
Con la mayor frecuencia de los informes a la junta directiva, los CISO deben asegurarse de que sus interacciones sean breves, productivas y valiosas. Los CISO que tendrán éxito en esta función ampliada son aquellos que puedan evolucionar más allá de la perspicacia técnica para adoptar una visión más centrada en los negocios y dominar el arte de contar historias.