3min. read

Mantener informado al consejo de administración es de vital importancia; pero, en muchos casos, los directores de seguridad de la información (CISO, por sus siglas en inglés) solo lo hacen a posteriori. No hay que olvidar que es precisamente el consejo el que tiene la última palabra en las decisiones de la organización, por lo que los profesionales de la seguridad deben mantenerlo al corriente. Pero comunicar incidentes de seguridad (como la the vulnerabilidad Log4j), presentar solicitudes en función de los requisitos normativos o responder a preguntas sobre una brecha que se haya producido en el mismo sector no deberían ser las únicas ocasiones en que los CISO se reúnen con los directivos.

Muy al contrario, los profesionales de la seguridad deberían estar en contacto permanente con el consejo de administración, manteniéndolo informado y estableciendo una relación de confianza mutua. A fin de cuentas, colaborar con él contribuye a mejorar la estrategia de seguridad, algo que todos necesitamos.

El papel del consejo de administración como la cuarta línea de defensa

Aunque a veces se considera que el consejo de administración es un colectivo más ante el que los responsables de seguridad deben rendir cuentas, este grupo de mando puede desempeñar un papel mucho más importante.

El consejo de administración puede y debe considerarse como la cuarta línea de defensa de la seguridad de una empresa. La primera línea de defensa la constituyen las operaciones y funciones de seguridad cotidianas gestionadas por el personal operativo que se encarga de clasificar las incidencias. La segunda línea de defensa es lo que llamamos «la función de cibergobernanza», y la tercera es la función de auditoría interna y elaboración de informes. La cuarta línea de defensa está formada, pues, por el consejo de administración. Es crucial que estas cuatro líneas de defensa mantengan una comunicación fluida para evitar los vacíos de información y cohesionar las operaciones de ciberseguridad.

Cómo establecer una relación de confianza con el consejo de administración

Para que el consejo de administración se comprometa con la seguridad y actúe como una eficaz cuarta línea de defensa, es necesario forjar una relación de confianza mutua. Con este fin, los profesionales de la seguridad deben velar por lo que de verdad importa al consejo, a saber, estos tres elementos principales:

Protección de la marca. Asegúrese de que la marca de la organización está protegida desde el punto de vista de la propiedad intelectual, el secreto comercial y la reputación.

Rentabilidad. Es necesario disponer de los controles de seguridad adecuados para garantizar la rentabilidad de la empresa.

Gestión de riesgos. Elija bien qué comunicar al consejo de administración para que sean conscientes de cómo puede verse afectado el negocio por las amenazas de ciberseguridad.

Un buen aliciente: la rentabilidad de la inversión en seguridad (ROSI)

A la hora de hablar con el consejo de administración, es importante asegurarse de que todo el mundo se entiende. Es bien sabido que los miembros de los consejos de administración no suelen ser expertos en ciberseguridad. De ahí que muchas veces los CISO no sepan muy bien qué