Por Norman Marks, CPA, CRMA

Me gusta decir a los profesionales del riesgo que, cuando informen a la dirección, lo hagan:

Diles lo que necesitan saber, ¡no lo que tú quieres decir!

¡Hay una gran diferencia!

Mucha gente comete este error e inunda al consejo y a la alta dirección con información técnica, en lugar de la información empresarial que la dirección necesita saber.

Lo que los líderes necesitan saber varía, pero normalmente se reduce a una cosa: necesitan información para tomar las decisiones estratégicas y tácticas correctas y asumir los riesgos necesarios para el éxito. (Para mí, el éxito es la consecución de los objetivos de la empresa. Así es como el consejo suele medir el rendimiento del director general y otros altos ejecutivos).

En Making Business Sense of Technology Risk, hago referencia a un estudio reciente de Osterman Research. En Cómo se sienten los consejos de administración respecto a sus informes de ciberseguridad, concluyeron:

  • El 85% de los miembros del consejo de administración creen que los ejecutivos de TI y seguridad deben mejorar la forma en que informan al consejo.
  • El 59% afirma que uno o más ejecutivos de seguridad informática perderán su trabajo por no proporcionar información útil y procesable.
  • El 54% está de acuerdo o muy de acuerdo en que los informes son demasiado técnicos.
  • Sólo el 33% de los ejecutivos de TI y seguridad creen que la junta directiva comprende la información sobre ciberseguridad que se le proporciona.

Esto es impresionante. Los miembros de la junta directiva dicen que los informes cibernéticos que reciben no les ayudan a dirigir la empresa. ¿Es sorprendente entonces que la Junta no proporcione a los profesionales de InfoSec el apoyo (tiempo y recursos) que buscan?

Los consejos de administración y los ejecutivos suelen recibir informes que incluyen algunos o todos los elementos siguientes:

  • Una evaluación de que el riesgo cibernético es alto, medio o bajo. La evaluación puede adoptar la forma de un mapa de calor, y puede formar parte de un informe general de riesgos, normalmente una lista de riesgos (de nuevo calificados como alto, medio o bajo).
  • Una lista de “activos de información” clasificados según su riesgo (como sugieren los principales marcos cibernéticos)
  • La evaluación por parte de la dirección -del director de seguridad de la información (CISO), si existe, o del director de riesgos- de si el ciberriesgo está dentro del apetito de riesgo de la organización.
  • Evaluaciones de la adecuación de las capacidades de defensa, detección y respuesta al riesgo
  • Información sobre las acciones previstas para subsanar las deficiencias detectadas
  • Solicitud de recursos adicionales

Pero, ¿ayuda esta información a la alta dirección y al consejo a tomar las decisiones estratégicas y tácticas necesarias para el éxito?

Un informe reciente de McKinsey & Co, Cyber Risk Measurement and the Holistic Cybersecurity Approach, reveló que:

  • Los consejos de administración y los comités están inundados de informes, que incluyen docenas de indicadores clave de rendimiento e indicadores clave de riesgo (KRI). Sin embargo, los informes suelen estar mal estructurados, con datos incoherentes y demasiados detalles.
  • La mayoría de los informes no transmiten las implicaciones de los niveles de riesgo para los procesos empresariales. A los miembros de la Junta Directiva les resultan desagradables estos informes, mal redactados y sobrecargados de acrónimos y taquigrafía técnica. En consecuencia, les cuesta hacerse una idea de la situación general de riesgo de la organización.
  • En un reciente evento sobre ciberseguridad, un alto ejecutivo dijo: “Ojalá tuviera un traductor de mano, de los que usan en Star Trek, para traducir lo que me dicen los CIO [chief information officers] y los CISO [chief information security officers] a un inglés comprensible”.

Los CISO tienen que encontrar la forma de hacer saber a la dirección si la posibilidad de una grave brecha cibernética -que impida o al menos dificulte significativamente la consecución de los objetivos de la empresa- es al menos razonablemente probable. Lo ideal es que apunten a objetivos concretos y ayuden a los miembros de la junta directiva y del equipo ejecutivo a saber hasta qué punto están en peligro y tienen probabilidades de fracasar. Deben trabajar con el CRO para que los líderes puedan ver el panorama general: todas las cosas que podrían ocurrir, incluidas las cibernéticas, pero sin limitarse a ellas, que podrían impedir el éxito.

Cuando era ejecutivo en TI, mi equipo tenía la responsabilidad de desarrollar tanto planes de recuperación ante desastres informáticos como planes de reanudación de la actividad empresarial. Realizamos un análisis del impacto en el negocio (BIA): Si se produjera una interrupción, ¿cómo se verían afectados los servicios prestados por la empresa? ¿Cuánto tiempo podría sobrevivir la empresa a una interrupción sin graves consecuencias? ¿Qué probabilidad hay de que se produzca una pérdida grave de servicio? ¿Cuántos recursos tiene sentido invertir para reducir el impacto y/o la probabilidad a niveles aceptables?

Tenemos que hacer el mismo BIA para la cibernética.

En cambio, nos dejamos influir por los informes públicos de violaciones masivas. Sin embargo, según el último Informe sobre el coste de una violación de datos del Instituto Ponemon, el coste medio de una violación de datos es de sólo 3,9 millones de dólares. Rand’s Examining the Costs and Causes of Cyber Incidents, descubrió que:

“…los incidentes cibernéticos cuestan a las empresas apenas un 0,4% de los ingresos anuales por término medio. En comparación, los índices generales de corrupción, declaraciones financieras erróneas y fraude en la facturación suponen el 5% de los ingresos anuales, seguidos de la pérdida de ventas al por menor (1,3%) y el fraude online (0,9%).”

Toda organización debe realizar un BIA que tenga en cuenta la naturaleza de su negocio y cómo podría afectarle una violación. Proporcionar a los dirigentes la información que necesitan para tomar decisiones inteligentes e informadas sobre si el nivel de riesgo es aceptable y, en caso negativo, cuánto invertir en alguna combinación de defensa, detección y respuesta.

Los líderes tienen que tomar decisiones y necesitan información, como por ejemplo

  • ¿Cuál es la probabilidad de que se produzca una infracción o una combinación de infracciones que afecten al negocio tan gravemente que no podamos alcanzar nuestros objetivos (ingresos, cuota de mercado, objetivos de beneficios, etc.)?
  • ¿Qué objetivos no alcanzaríamos?
  • ¿Podemos reducir el riesgo a niveles aceptables? En caso afirmativo, ¿cuáles son las opciones, cuánto riesgo se mitigaría, durante cuánto tiempo se reduciría el riesgo y cuánto costarían esas opciones?
  • ¿Podemos permitírnoslo? ¿De dónde viene el dinero?
  • ¿Tiene sentido empresarial invertir en cibernética a expensas de invertir en una nueva campaña de marketing, en el desarrollo de un producto o en una nueva tecnología?
  • ¿Deberíamos aplazar o incluso cancelar los proyectos intensivos en tecnología que aumentarán el riesgo cibernético, como la automatización avanzada?
  • ¿Tenemos el equipo de gestión adecuado para abordar la cibernética?

Los directores generales deben trabajar con el CRO, el CISO y los CIO para asegurarse de que se proporciona información procesable a la junta directiva y a los ejecutivos.

Diles lo que necesitan saber para poder desempeñar sus responsabilidades de liderazgo y gobierno. Comprende las decisiones que tienen que tomar, la información que necesitan… y dásela.

Para saber más de Norman Marks sobre cómo comunicar el ciberriesgo a los líderes, consulta nuestro seminario web a la carta con Norman Marks, disponible ahora en la Biblioteca de Recursos de Riskonnect.