Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Comunicación Efectiva con la Junta para CISOs

Comunicación Efectiva con la Junta para CISOs

by Alan Levine updated noviembre 23, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 6 minutes

Conoce a Tu Junta Directiva

Si eres un CISO, tu Junta Directiva generalmente sabe quién eres y qué haces. Pero, ¿sabes quiénes son ellos? Ninguna Junta es monolítica. Cada miembro de la Junta aporta un valor único. Cada uno es seleccionado por lo que añade a la perspectiva, visión y decisiones de la Junta. Si conoces a tu Junta, puedes adaptar tu mensaje a tu audiencia y evitar algunas sorpresas potenciales.

Empieza preguntándote, ¿quiénes son los miembros de tu Junta? ¿Cuáles son sus habilidades, fortalezas y áreas particulares de interés o preocupación? Aprende sus prioridades y objetivos, porque lo que importa a cada uno probablemente importará a la Junta en general, y lo que importa a tu Junta es la definición más pura de lo que importa a tu organización.

Hay otras consideraciones. Si los miembros de la Junta están en las Juntas de otras organizaciones, ¿cómo podrían esas relaciones conectarse con tu organización? ¿Son especialistas en un sector o vertical particular? ¿Operan en una función o departamento específico como Finanzas, TI u Operaciones?

Si no están en otras Juntas, pueden participar en el consejo ejecutivo de otra organización y, de hecho, esa puede ser la razón clave por la que han sido elegidos para la Junta de tu organización. Investiga a los miembros de tu Junta tanto como puedas. Cuanto más sepas, más cómodo estarás comunicándote con ellos.

No puede ser importante saber si algún miembro de la Junta tiene conocimientos o experiencia en ciberseguridad. Ciertamente, cualquiera en una posición de liderazgo de cualquier tipo ha aprendido mucho sobre ciberseguridad. Las organizaciones hablan y aprenden de otras organizaciones sobre sus puntos de dolor y, tal vez, también sobre sus incidentes cibernéticos.

Aún así, es posible que uno o más de los miembros de tu Junta tengan conocimientos formales de ciberseguridad. Tal vez han trabajado en roles relacionados con la tecnología o en una organización tecnológica. Tal vez sus intereses personales se inclinan hacia lo técnico, lo cual tiene sus pros y contras. Como dice el cliché, el conocimiento puede ser una espada de doble filo, y un poco de conocimiento puede ser más problemático que no tener conocimiento en absoluto. Prepárate para enfrentar esa posibilidad.

“Empieza preguntándote, ¿quiénes son los miembros de tu Junta?”

También debes entender la composición de tu Junta. ¿Cómo está organizada? ¿El presidente es un director independiente cuya única asociación con la organización es su membresía en la Junta, o es un empleado de la organización, por ejemplo, el CEO?

La Junta probablemente se ha organizado según dominios organizacionales: Finanzas, Gobernanza y Compensación son comités típicos de la mayoría de las Juntas. Otros, y los más importantes para un CISO, son los comités de Riesgo y Auditoría. De hecho, algunas Juntas han establecido un subcomité de Riesgo y Auditoría dedicado a la ciberseguridad.

Independientemente de dónde se sitúe la ciberseguridad como un dominio constituyente entre los comités de la Junta de la organización, es probable que la supervisión de la ciberseguridad haya sido asignada a alguna función de la Junta o a uno o más miembros de la Junta. Dado tu rol como CISO y el riesgo potencial que representan las amenazas cibernéticas para tu organización, este nivel de interés y compromiso probablemente sea beneficioso para tu misión.

Entiende las Prioridades de Tu Junta

Tu Junta se centra en elementos clave que pueden guiar el éxito de la organización o abordar cualquier fallo o debilidad. Lo más importante para la mayoría de las Juntas son las áreas de enfoque de la reputación organizacional, ética e integridad, y cumplimiento normativo.

Todas las Juntas son, por definición, estratégicas. Es decir, se centran en la visión general. Planifican para el futuro de la organización. Les importa si la organización está ejecutando para cumplir sus objetivos empresariales. Les importa si la organización está midiendo su rendimiento y entienden las formas en que las mediciones relevantes y útiles pueden informar la estrategia organizacional.

Las Juntas también se preocupan por cómo se comparan el rendimiento y las prioridades de tu organización con organizaciones similares. El benchmarking siempre es una actividad útil para los CISOs, y las Juntas a menudo se apoyan en el benchmarking como una forma de medir los planes y el rendimiento de una organización. Esto debe ser parte de la estrategia de administración de riesgos de ciberseguridad de un CISO.

Comunica a Tu Junta con Propósito

Puede que te involucres o no directamente con tu Junta. Si crees que tienes un problema o información que debería ser planteada a la Junta, llévala a tu gerente y, ya sea directa o indirectamente, a tu CEO. Tu CEO decidirá qué debe o no debe presentarse a la Junta. Hablarás con tu Junta solo con la aprobación de tu CEO.

Intentar pasar por alto a tu equipo de gestión o CEO para hablar directamente con toda la Junta o con miembros individuales de la Junta nunca es una buena idea, sin importar cuán urgente sea el asunto. Evita dar la alarma y exigir ser escuchado por tu Junta.

El daño colateral a tu misión, y a tu reputación en la organización, puede volverse irreparable. Tu Junta se preocupa por muchos temas, y los problemas de ciberseguridad son solo un subconjunto. Trabaja dentro del sistema establecido y plantea preocupaciones dentro de ese marco.

Si te piden que hables con tu Junta, es probable que estén interesados en algo muy específico: una actualización sobre algún incidente cibernético, o la resiliencia relativa de tu organización ante un incidente cibernético recientemente publicitado en otra organización.

O pueden estar interesados en una actualización general sobre los proyectos y programas de ciberseguridad de la organización. No necesariamente estarán interesados en lo que tú crees que es importante, pero probablemente estarán ansiosos por aprender lo que deberían creer que es importante.

“Diles todo lo que crees que necesitan saber.”

Si te diriges a tu Junta, o a un subcomité de ella, diles todo lo que crees que necesitan saber. Infórmales, enséñales, enriquécelos y guíalos.

Háblales sobre tus proyectos principales de ciberseguridad actuales y tus iniciativas futuras. Háblales sobre tus evaluaciones de riesgos y la postura de riesgo actual.

Háblales sobre la madurez de tu programa de ciberseguridad y cómo se compara tu programa en ejercicios de benchmarking.

Háblales sobre cómo tu programa de ciberseguridad puede proporcionar impulsores de valor u otras ventajas empresariales.

Diles todo esto si el tiempo lo permite. Tendrás unos 10 minutos. Espera interrupciones.

Tu Junta puede preguntar sobre cualquier número de cosas. Por ejemplo,

  • ¿Hemos tenido algún incidente?
  • ¿Estamos ejecutando según el plan?
  • ¿Cuáles son nuestros riesgos?
  • ¿Cómo nos comparamos con nuestros pares?
  • ¿Cómo estamos abordando el riesgo cibernético de terceros y de la cadena de suministro?
  • ¿Cómo se integra nuestro programa de ciberseguridad con e impulsa las iniciativas de TI y OT de la organización, por ejemplo, la transformación digital o la excelencia operativa?

“Nunca sorprendas a tu liderazgo con algún tema o asunto del que el Presidente o tu CEO no estén al tanto.”

Siempre comienza preparando al Presidente de tu Junta o CEO. Proporciona lecturas previas. Informes anuales como el “Informe del Costo de una Brecha de Datos” de IBM y el Instituto Ponemon y el “Informe de Investigaciones de Brechas de Datos” de Verizon son buenas lecturas para casi cualquier ejecutivo de nivel C.

Nunca sorprendas a tu liderazgo con algún tema o asunto del que el Presidente o tu CEO no estén al tanto. Aunque es poco común, algunos miembros de la Junta pueden solicitar conversaciones paralelas, pero estas conversaciones nunca deben ocurrir a menos que el Presidente o CEO conozcan la solicitud y hayan aprobado tu participación de antemano.

El papel de tu Junta en ciberseguridad puede ser fundamental. Las Juntas y la Alta Dirección establecen el tono para un programa de ciberseguridad de calidad. El liderazgo de arriba hacia abajo es esencial. Sí, el comportamiento del usuario es crucial para cualquier programa de ciberseguridad y necesitas participación de abajo hacia arriba, pero tu misión se define en los niveles más altos de tu organización.

Dile a Tu Junta Lo Que Necesitan Saber

Si tu organización es una empresa pública, la Junta puede tener un gran interés en la misma información que la SEC requiere de todas las organizaciones públicas en sus presentaciones públicas. Estarán interesados en los factores de riesgo clave en lugar de los detalles detrás de tu gestión de vulnerabilidades o programas de detección y respuesta. Solo querrán escuchar sobre tus expectativas básicas de higiene si el estado actual de tu organización varía significativamente del plan de maneras que podrían tener serias implicaciones de riesgo.

En cualquier comunicación con tu Junta, sé consistente al expresar y explicar la visión a largo plazo, la perspectiva estratégica, y no solo cualquier punto en el tiempo, incluso si ese momento está dramáticamente impactado por un evento actual.

Por ejemplo, algunas organizaciones durante el COVID han aumentado su diligencia en ciberseguridad para prestar atención adicional al trabajo remoto y las herramientas de colaboración en línea. Otras organizaciones han ralentizado o pausado algunos programas de ciberseguridad debido a restricciones de efectivo u otros factores impactantes. Estas son instantáneas de tu programa de ciberseguridad actual.

¿Cuáles son las implicaciones a largo plazo, si las hay? Recuerda: un programa de ciberseguridad no se trata solo de una buena defensa; se trata más de las habilidades de una organización para ser ciberresiliente, su capacidad para sostenerse y resistir los impactos más severos de cualquier tormenta.

“En cualquier comunicación con tu Junta, sé consistente al expresar y explicar la visión a largo plazo, la perspectiva estratégica, y no solo cualquier punto en el tiempo.”

En general, tu Junta necesita saber si tu organización es cibersegura. ¿Tu programa identifica riesgos, los mide por probabilidad e impacto, y toma decisiones inteligentes sobre gasto, esfuerzo y enfoque?

¿Tiene un programa para la mejora continua y el perfeccionamiento? ¿Entiende lo que significa cumplir con los regímenes regulatorios? Estas no son preguntas difíciles para un CISO de responder, pero se necesita tacto y cuidado para responderlas de maneras que tu Junta entienda, aprecie y acepte. Exprésate con claridad, coherencia y confianza para infundir confianza entre el liderazgo de que estás haciendo las cosas correctas de las maneras correctas. Tú, tu Junta y tu organización estarán mejor por ello.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks