Cómo comunicar el riesgo cibernético a la Empresa

Si bien el mundo conectado digitalmente de hoy ha elevado la economía global a nuevas alturas, no se puede ignorar el hecho de que los ataques cibernéticos y las violaciones de datos también se han convertido en un problema frecuente. La investigación ha demostrado que los ataques cibernéticos están en aumento entre las organizaciones, con el cibercrimen que le cuesta a la economía australiana más de $ 1 mil millones por año . El potencial de las amenazas cibernéticas para costar a las organizaciones millones de dólares en limpieza, pérdida de negocios y daños a la reputación demuestra claramente la relación entre el riesgo cibernético y el riesgo comercial. Con tanto en juego, los CISO, todo el C-suite y la Junta requieren una visión de la exposición cibernética de la misma manera que otros riesgos.

Esta guía práctica ayudará a los CISO a comunicar el riesgo cibernético al C-suite y al consejo de administración de una manera que fomente un diálogo basado en los negocios para una toma de decisiones mejor y más informada que se centre en maximizar la reducción del riesgo.

Centrarse en los riesgos críticos

Hay una tendencia a seguir por error un enfoque tradicional de “marcar la casilla” para abordar cada riesgo. Esto es similar a perseguir su propia cola porque no proporciona visibilidad de los riesgos reales y consume recursos valiosos y tiempo en vulnerabilidades que tienen una baja probabilidad de ser explotadas.

Las organizaciones maduras han evolucionado desde este enfoque arcaico hacia la gestión de vulnerabilidades basada en el riesgo. El uso de inteligencia de amenazas, investigación de vulnerabilidades y datos de probabilidad permite a un CISO enfocarse en riesgos críticos. Estas son vulnerabilidades que en realidad tienen un alto riesgo de ser explotadas.

Un estudio de 2019 realizado por McKinsey Consulting encontró que la gestión de vulnerabilidades basada en el riesgo permite a las empresas una reducción de riesgo potencial de 7.5 veces por encima de su programa original, sin costo adicional.

Presente a la empresa respuestas claras.

Seamos honestos, cuando el C-suite o el consejo de administración le pregunte a un CISO: “¿Qué tan seguros estamos?” Lo último que quieren es una respuesta larga. Esperan una visión del riesgo cibernético de la misma manera que otras áreas operativas, y con la misma precisión y previsibilidad.

Por lo tanto, esta es una oportunidad para que el CISO presente una visión medible de la exposición al riesgo cibernético de la organización utilizando puntos de referencia comparativos internos y externos. Considere utilizar un lenguaje conciso y comprensible adecuado para guiar la toma de decisiones de liderazgo estratégico por parte de la junta.

Los ciberataques tienen la capacidad de destruir la reputación o la ventaja competitiva de una organización, los cuales son críticos para la salud del negocio. Por lo tanto, los CISO deben estar preparados para comunicar eficazmente este mensaje a la junta y explicar claramente cómo se aborda este riesgo en la unidad de negocios, los activos y la ubicación geográfica.

Canalizar los recursos adecuadamente

Las acciones correctivas deben priorizarse para reducir la exposición cibernética de la organización. Un CISO debería profundizar en vulnerabilidades o activos específicos para identificar y soportar controles que sean más efectivos y realmente reduzcan el riesgo.

Haga de la gestión de riesgos de ciberseguridad una estrategia viva

Considere reunirse con el C-suite con frecuencia para revisar las prioridades y la estrategia de riesgos. Sin una estructura de gobierno interno sólida, las organizaciones tendrán problemas para construir cualquier éxito.

La supervisión de la seguridad puede ser dirigida por el CISO, pero todo el C-suite debe impulsar un enfoque de liderazgo entre equipos. La seguridad es un esfuerzo de equipo y un proceso en movimiento. Está vinculado a cada parte de las operaciones comerciales y, por lo tanto, requiere una estructura de gobierno entre equipos para respaldar el programa y resolver decisiones críticas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.