¿Comprenden los consejos de administración su nuevo papel en la ciberseguridad?
Los CIO pueden empezar por armar a sus consejos con las preguntas adecuadas, ninguna de las cuales es técnica. Por ejemplo, ¿hemos realizado una evaluación externa de nuestros planes de recuperación cibernética y cuál es nuestro plan de acción basado en esa evaluación? Otra área propicia para la investigación del consejo es si se han realizado o no pruebas de penetración o cualquier otra prueba que imite las acciones de los ciberdelincuentes. ¿Se realizan esas pruebas con regularidad y cuál es nuestro rendimiento?
Desarrollar áreas de especialización
Las evaluaciones externas, dice Ragland, también son herramientas poderosas para los CIO. “Ahora que los consejos de administración buscan validación externa de los riesgos, al igual que harían con un fiduciario financiero a través de una auditoría, es responsabilidad ejecutiva de los directores de sistemas de información proporcionarles esa información, así como tener un par de ojos frescos en un panorama siempre cambiante”, afirma. Los servicios de auditoría y TI cuentan con prácticas de ciberseguridad, y la Asociación Nacional de Directores de Empresas tiene recomendaciones para realizar evaluaciones externas.
Los consejos de administración quieren reforzar su papel en ciberseguridad y, como consecuencia, están cambiando los criterios de selección de sus miembros. “Los consejos no deberían limitar su aportación de conocimientos tecnológicos a la seguridad”, afirma Ragland. “Sí, la experiencia en seguridad es fundamental, pero también lo es un miembro del consejo que pueda abordar la oportunidad estratégica que la tecnología aporta a las organizaciones. ¿Cómo utilizamos la tecnología para avanzar en nuestras estrategias, productos y relaciones con los clientes? Cuando los consejos se fijan en las habilidades tecnológicas, deberían buscar a alguien que pueda aportar ambos sabores a la sala del consejo”.