La Seguridad frente al Directorio de la Compañía

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

El manejo de la seguridad en una compañía genera siempre fricciones, el directorio se enfoca en mantener los objetivos del negocio intactos, mientras que los ejecutivos de seguridad tienen una mirada más abstracta del negocio y valoran más la salvaguarda de la información.

Existen dos posiciones en pugna claramente enfrentadas, y alcanzar el equilibrio es sin dudas el consejo que habitualmente doy cuando soy consultado sobre este tipo de disputas.

A mi juicio la comunicación debe fluir en ambos sentidos. Es esencial asegurarse de que el equipo de seguridad comprenda cómo se requiere la información, cómo se deben enmarcar las discusiones, y el nivel de abstracción con el que debe tomar decisiones.

De lo contrario, corre el riesgo de discutir temas que no abordan los problemas de la empresa, que son los que generan preocupación a la mayoría de los ejecutivos. No podemos esperar que los miembros del directorio de una empresa actúen como expertos en seguridad. Pero, en el escenario actual de negocios, los riesgos cibernéticos son una parte importante de la gestión del riesgo de una compañía.

Por lo tanto los miembros del directorio deben tener clara la diferencia entre seguridad y riesgo para facilitar una reunión que aporte valor al negocio.

¿Hablar de seguridad o de riesgo?

La productividad es importante, pero en lugar de llevar el tema de una reunión a las tecnologías, políticas y procedimientos específicos, hay evaluar lo que la empresa está haciendo para mitigar proactivamente riesgos cibernéticos y ver claramente qué niveles de riesgo detentan.

Comprender el valor de la seguridad de una empresa es importante, pero gestionar los riesgos asociados a la seguridad resulta vital. Al igual que en otras áreas de negocio, los miembros del directorio de una compañía deben estar al tanto de las fuentes de riesgo y deben evaluar con claridad lo que es aceptable para la empresa.

Deben estar preparados para tomar medidas para reducir o transferir los riesgos de seguridad, en el momento que la gestión así lo requiera. El CSO debe influir para hacer conocer al Directorio sobre los indicadores clave que se tienen que supervisar y hay que ser coherente con el negocio.

El directorio debe entender la postura de seguridad y respaldar el control de los puntos de datos clave para el negocio.

El CSO frente al directorio de su compañía debe presentar métricas significativas, basadas en los datos que demuestran el rendimiento y su eficacia.

Al directorio no le importa conocer la frecuencia con la que el equipo está siendo efectivamente amenazado por ataques puntuales, necesita saber que las contramedidas se toman antes de que se conviertan en un problema.

El objetivo del CSO frente al directorio de su empresa debe ser pintar un cuadro claro de rendimiento de seguridad en el tiempo, y para ganar contexto el informe debe plantear dónde se encuentra la empresa en relación con sus competidores dentro de su industria.

En paralelo, el CSO debe presentar un registro de los cambios de rendimiento en correlación con eventos clave para obtener una comprensión sobre el impacto de las inversiones en tecnología, el organigrama y sobre las decisiones políticas.

En definitiva, el objetivo final es reducir la fricción, llevar todo a cambiar la conversación de un juego de números para una evaluación de desempeño, como lo haría en otras áreas del negocio, generando una relación en la que todos ganan.

 

Por Facundo Rojo Gil
CISA,CISM
Director General – VÍNTEGRIS