El último estudio internacional de Barracuda Networks revela que un 35% de las pymes encuestadas asegura que sus altos directivos no consideran los ciberataques como un riesgo significativo. Sin embargo, una cuarta parte de estas empresas afirma que los líderes no están al día de las amenazas a las que se enfrenta la organización.
Para Riaz Lakhani, CISO de Barracuda Networks, este asunto no es “un fallo de dirección”, sino que considera que es difícil interesarse o preocuparse por algo que no se comprende del todo. Los CISO tienen que contar historias y ser capaces de influir en las personas de todos los niveles de la organización y ayudarles a entender lo que pasa dentro de la compañía. Es por eso que Lakhani ha elaborado la guía ‘¿Cómo hablar con los directivos de las empresas sobre los riesgos de seguridad?’, en la que esboza las tres conversaciones clave que todo CISO debe mantener:
- Con el personal técnico, como ingenieros, desarrolladores o investigadores de seguridad: probablemente estas sean las personas a quien un CISO tenga que llamar un día a las 02:00 am con una petición urgente, por lo tanto, será fundamental construir una relación fuerte, ponerse en su papel e intentar entender cómo se ve la seguridad desde su perspectiva.
- Con altos directivos: con este nivel serán necesarias las reuniones periódicas y programadas con las partes interesadas de más alto nivel en áreas de riesgo críticas como ingeniería, finanzas y legal, para analizar cómo se está evolucionando en el ámbito de las amenazas y la seguridad y lo que esto significa para la hoja de ruta del negocio, el riesgo y el cumplimiento.
- Con el consejo de administración: hay que tener en cuenta que cada consejo es diferente, es por eso que será necesario aprender todo lo que se pueda sobre las personas que se sientan a la mesa y asegurarse de que el Power Point les habla en un lenguaje y con conceptos que puedan entender. Saber cuál es la clave para captar su interés y atención determinará el éxito de la conversación.
Según Keri Pearlson, autora de ‘A Tool to Help Boards Measure Cyber Resilience’ y directiva de Barracuda Networks, la conversación tiene que centrarse en los riesgos prioritarios a los que se enfrenta la empresa, por ejemplo, a través de la cadena de suministro, y qué ocurre si un ataque tiene éxito. “La junta directiva quiere saber que su CISO ha pensado no sólo en mantener alejados a los malos actores, sino en cómo responder y recuperarse de un incidente para que las operaciones puedan continuar y no pierdan la empresa”, afirma Pearlson.
