La cara cambiante del gobierno corporativo en ciberseguridad

 

El panorama cambiante de los riesgos de ciberseguridad implica diferentes responsabilidades y roles para los consejos de administración, especialmente a la luz de las nuevas normas de información de la SEC.

El rechazo de numerosas partes es común, sin embargo, los datos y la erudición del mundo real muestran que la falta de experiencia en ciberseguridad entre los miembros de la junta dificulta la comprensión adecuada y la priorización de los riesgos de ciberseguridad.

La ciberseguridad sufre de desajustes a gran escala en la coordinación, priorización y recursos de arriba hacia abajo y de abajo hacia arriba. Los efectos de estos desajustes son múltiples, ya que los ciberdelincuentes explotan hábilmente las brechas y las costuras para exprimir datos y dólares, que ahora se estiman en billones de dólares al año.

Si bien muchos consejos de administración de las empresas se están familiarizando con los riesgos y las estrategias cibernéticas, a través de ejercicios teóricos de respuesta a incidentes, fuera de las instalaciones e intercambio de información, siguen existiendo dilemas sobre los informes cibernéticos y la experiencia de los consejos de administración.

Además, los libros de jugadas estándar para la respuesta a incidentes aún no están bien establecidos y surge un patrón triste: después de la infracción, las empresas a menudo se apresuran a destituir a los ejecutivos de alto nivel y contratar consultores externos para revisar las prácticas subóptimas.

A menudo, estos esfuerzos dependen de abogados cuyos abogados pueden preservar la confidencialidad o proteger la marca y el liderazgo, pero también pueden socavar los amplios avances que se necesitan desesperadamente en materia de ciberseguridad.

Impacto de las reglas de la SEC

En última instancia, las normas de la SEC no obligan a los consejos de administración a exigir conocimientos cibernéticos, pero la norma de los cuatro días para la determinación de los materiales y la presentación de informes, contra la que muchas entidades también han presionado, pone una clara responsabilidad en los consejos de administración para que incorporen la ciberseguridad como parte de su programa general de gestión de riesgos.

Además, ahora se exige a las empresas públicas que detallen anualmente en su Formulario 10-K cómo el consejo supervisa los riesgos relacionados con las amenazas de ciberseguridad, así como el papel de la dirección en la evaluación y el manejo de los riesgos materiales.

Si bien existe una necesidad crítica de priorizar los riesgos de ciberseguridad de manera más que simbólica en la junta directiva, siguen existiendo lagunas en la explicación de las amenazas y el retorno de la inversión para la alta dirección. Con demasiada frecuencia, los ejecutivos son tratados con una jerga técnica compleja o una verborrea litigiosa cuando más se necesita un lenguaje comercial sencillo.

Hasta la fecha, gran parte del rechazo de los consejos de administración a los requisitos de experiencia cibernética ha caído en una de las cinco falacias, detalladas por primera vez por Bob Zukis, director ejecutivo de Digital Directors Network.

  1. Talla única. Afirmación falsa de que la norma propuesta por la SEC define y dicta un enfoque para todas las empresas sobre lo que constituye un director con experiencia en ciberseguridad
  2. Un truco Pony. Visión incorrecta de que los CISO tienen un perfil de competencias y un conjunto de habilidades demasiado estrechos para contribuir a la agenda más amplia de la sala de juntas
  3. Escasez. Afirma que la escasez de habilidades de ciberseguridad, generalmente publicitada, significa que tampoco hay suficientes expertos cibernéticos para ir por la sala de juntas
  4. Pendiente resbaladiza. Afirmación sin pruebas de que la divulgación de la experiencia en ciberseguridad del director o la presencia en el consejo de administración creará consecuencias negativas y no deseadas en otros lugares.
  5. Experto externo. Creencia errónea de que los expertos externos o la experiencia de gestión son un sustituto adecuado del gobierno corporativo que no reconoce el propósito del gobierno corporativo y el hecho de que los deberes fiduciarios no se pueden delegar

No obstante, la tendencia hacia la responsabilidad de los consejos de administración en materia de ciberseguridad es clara. Por ejemplo, la Parte 500 del Título 23 de los Códigos, Normas y Reglamentos de Nueva York (NYCRR, por sus siglas en inglés), a menudo denominada Reglamento de Ciberseguridad del Departamento de Servicios Financieros de Nueva York (DFS, por sus siglas en inglés), que abarca la banca, los seguros y otras entidades que operan en Nueva York, exige que los consejos de administración estén informados sobre la ciberseguridad.

Los CISO deben informar por escrito al menos una vez al año a la junta directiva de la entidad cubierta o al órgano de gobierno equivalente, incluida la información sobre la eficacia general del programa de ciberseguridad y los riesgos materiales de ciberseguridad asociados con la entidad.

Red de Directores Digitales a partir del análisis de la información pública en el sitio web de la SEC
Red de Directores Digitales a partir del análisis de la información pública en el sitio web de la SEC

Mientras tanto, han aumentado los ciberataques significativos contra infraestructuras críticas. Con la preponderancia de la infraestructura crítica en manos privadas, el control privado de la infraestructura crítica presenta nuevos desafíos para la transparencia y la rendición de cuentas. En la actualidad, una compleja red de reglamentaciones entrelazadas y, a veces, superpuestas constituye la base de las prescripciones de los Estados Unidos.

A nivel federal, en 2022 la Administración Biden promulgó la ley CIRCIA. Si bien la ley se ocupa principalmente de los requisitos de presentación de informes y no exige explícitamente que la junta directiva comprenda o supervise el riesgo cibernético, fomenta indirectamente niveles más altos de gobierno corporativo con respecto a la ciberseguridad. Del mismo modo, la actualización de 2023 del Marco de Ciberseguridad del NIST, ampliamente utilizado, que también tardó muchos años en elaborarse, pone de relieve los problemas al incluir una nueva función de Govern.

Participación activa del gobierno

La participación activa del gobierno en las investigaciones y el apoyo también ayudan. Por ejemplo, el hackeo de Target de 2013 o, más recientemente, los esfuerzos del Departamento de Salud y Servicios Humanos para ayudar a los pacientes y proveedores después de la costosa violación de Change Healthcare sugieren la esperanza de una mejor gestión de riesgos en medio de las crecientes amenazas de ciberseguridad, particularmente contra los proveedores de atención médica.

Las asociaciones público-privadas ofrecerán cierto alivio aquí: en junio de 2024, la Casa Blanca anunció una iniciativa con la Asociación Estadounidense de Hospitales (AHA) y la Asociación Nacional de Salud Rural, Microsoft y Google, para comenzar a ofrecer servicios de ciberseguridad a los hospitales rurales de todo Estados Unidos.

La formación en seguridad, las evaluaciones de riesgos y las actualizaciones críticas llegarán lejos. Sin embargo, las entidades privadas también deben priorizar las medidas de ciberseguridad para prevenir brechas y proteger las infraestructuras críticas. Con demasiada frecuencia, los conceptos básicos se dejan sin hacer o no cuentan con los recursos suficientes, y los líderes relegan la cibernética a un evento de Cisne Negro o, lo que es peor, no pueden comprometer los escasos recursos.

Recomendaciones clave para las juntas directivas

Cuando los líderes priorizan la transparencia, participan activamente en las discusiones sobre riesgos y asignan los recursos adecuados a las iniciativas de gestión de riesgos, envían un mensaje claro de que es posible gestionar el riesgo. El tono establecido por los niveles más altos de una organización es la piedra angular para comprender el riesgo.

La evidencia empírica indica que la ciberseguridad debe ser una prioridad a nivel de la junta directiva, y las empresas necesitan personas y estructuras que permitan la comunicación directa y la creación de relaciones entre la junta y la organización de ciberseguridad.

Para mejorar aún más la ciberseguridad, los consejos de administración deben establecer un comité independiente que se centre únicamente en la gestión de riesgos. Este comité debe tener una relación directa con los equipos de ciberseguridad para abogar mejor por las prácticas de ciberseguridad ante el resto de la junta, especialmente si el CEO no está proporcionando una defensa adecuada. Si bien esto rompe los límites, ya que normalmente no se permite que el personal interactúe con los miembros de la junta, la importancia de la ciberseguridad como parte de la gestión de riesgos requiere una gestión cuidadosa.

La ciberseguridad es un riesgo siempre presente que las empresas no pueden ignorar, y los consejos de administración deben priorizar las medidas no solo para prevenir las infracciones, sino para proteger a toda la organización de los daños. La supervisión eficaz es la base para la toma de decisiones estratégicas, la protección de la integridad de la organización y el impulso del éxito sostenible. Solo entonces las empresas pueden tomar decisiones informadas que prioricen la gestión de riesgos, protejan las joyas de la corona y se vuelvan resilientes manteniéndose operativas en tiempos de adversidad.

Este artículo es el segundo de una serie de dos partes sobre la gestión del riesgo empresarial, y el primer artículo se centra en el papel del liderazgo

 

Fuente: InfoSecurity

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos