Como miembro de Junta Directiva, serás el objetivo (II entrega)

Considere si su estructura de informes permite a la Junta Directiva tener el compromiso con la ciberseguridad que necesita. Si el CISO informa a un intermediario de la Junta que se centra en un solo aspecto, ya sea financiero, legal o tecnológico, esto puede obstaculizar la capacidad de la Junta para ver las implicaciones más amplias de la ciberseguridad.

En la mayoría de las organizaciones, el CISO informa directamente a la Junta Directiva. Un buen punto de partida para mejorar la ciberseguridad en su organización es considerar la comunicación entre los expertos y los miembros del Consejo. Por ejemplo, es recomendable para mejorar la comunicación entre estos dos grupos requiere el esfuerzo de ambas partes:

  • Conseguir la estructura adecuada puede ayudar, pero también vemos a menudo una reticencia de ambas partes a comprometerse, porque el personal técnico piensa que el Consejo no les entenderá y el Consejo piensa que el personal técnico es incapaz de explicar los temas en el contexto de los objetivos estratégicos de la organización.
  • Los consejos de administración deben tener un conocimiento lo suficientemente bueno de la ciberseguridad como para poder entender cómo la ciberseguridad contribuye a los objetivos generales de la organización.
  • El personal técnico debe comprender que la comunicación de los ciber riesgos es un componente esencial de su trabajo, y asegurarse de que entiende su papel en la contribución a los objetivos de la organización.

¿Qué más debe hacer la Junta Directiva?

  • Hacer un balance de sus competencias actuales: La Junta Directiva debe saber qué conocimientos cibernéticos tiene la organización y qué necesita. ¿Tiene un CISO? ¿Un equipo de seguridad de la información? ¿Gestores de incidentes? Si no es así, ¿debería tenerlo? Esta información le dará una idea de la resistencia de los esfuerzos de ciberseguridad (¿depende actualmente de una persona?) y también le ayudará a entender la procedencia de la información de ciberseguridad que recibe.
  • También es posible que quiera considerar la experiencia en el propio Consejo. ¿Dispone actualmente de suficientes conocimientos especializados para garantizar que el Consejo sea capaz de tomar las decisiones estratégicas adecuadas en materia de ciberseguridad? ¿Es probable que pueda seguir el ritmo de los avances tecnológicos que plantean nuevos retos de seguridad? ¿Qué debería hacer su organización?
  • Elaborar un plan organizativo: Dada la falta de personas debidamente cualificadas y la creciente dependencia de los servicios digitales que necesitan ser protegidos, las organizaciones que no adopten la ciberseguridad pronto se quedarán atrás.
  • Averigüe qué conocimientos específicos de ciberseguridad necesita: La «ciberseguridad» abarca una serie de conocimientos diferentes, desde la seguridad de la red hasta la gestión de riesgos y la respuesta a incidentes. Puede ser útil considerar primero qué habilidades necesita para gestionar sus objetivos o riesgos más prioritarios y luego evaluar cuáles (si es que hay alguna) no puede subcontratar y debe tener en casa.

Por último, y es una recomendación personal, la Junta Directiva debe “establecer y mantener una cultura saludable”, en cualquier parte de la empresa, consiste en poner a las personas en el centro de las estructuras y las políticas. Sin embargo, cuando se trata de la ciberseguridad, a veces se tiende a centrarse casi exclusivamente en las cuestiones técnicas y a pasar por alto las necesidades de las personas y su funcionamiento real. Sin una cultura de seguridad saludable, el personal no se compromete con la ciberseguridad, por lo que usted no conocerá estas soluciones o enfoques no oficiales. Por tanto, no sólo tendrá una imagen inexacta de la ciberseguridad de su organización, sino que también perderá la oportunidad de que el personal haga valiosas aportaciones sobre cómo podrían mejorarse las políticas o los procesos.

En última instancia, el papel de la seguridad debe ser permitir que su organización alcance sus objetivos. De ello se deduce que si sus medidas de ciberseguridad no están funcionando para las personas, entonces sus medidas de seguridad no están funcionando. Algunas organizaciones caen en la trampa de tratar a las personas como el «eslabón débil» cuando se trata de ciberseguridad. Esto es un error. Una seguridad eficaz significa equilibrar todos los componentes, y no esperar que los humanos se plieguen siempre a la tecnología. Y lo que es más importante, la organización no puede funcionar sin las personas, por lo que hay que apoyar al personal para que pueda realizar su trabajo de la forma más eficaz y segura posible.

La seguridad y la dirección deben aprovechar al máximo lo que les dice el comportamiento de las personas. Mientras que la supervisión técnica puede buscar anomalías, las personas pueden actuar como un sistema de alerta temprana y detectar intuitivamente algo que parece inusual. Asegurarse de que el personal sabe a quién informar de cualquier problema puede ahorrar a la organización una gran cantidad de tiempo y dinero a largo plazo. Si el personal trabaja según un procedimiento establecido, esto puede poner de manifiesto una política o un proceso concreto que deba revisarse.

Si te ha gustado este contenido, comenta y usa los botones para compartir en tus redes sociales!!! 😊

Si quieres dejar tu opinión, recuerda que siempre sea de firma positiva y con respeto. Por el contrario, cualquier opinión agresiva, conductas o expresiones que vayan en contra del respeto, la dignidad, o constituyan injurias o calumnias será bloqueado, y denunciado a las Autoridades conforme a lo previsto artículo 208 del Código Penal Español. El delito de injurias se prevé una pena de multa que oscila entre 3 y 14 meses y para las calumnias la pena será de prisión de 6 meses a 2 años o multa de 6 a 24 meses.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Subir ↑

A %d blogueros les gusta esto: