BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Cambia la gestión de las amenazas en las empresas
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

CISO y CFO necesitan conectarse para lograr una gestión sólida del ciber riesgo

Aunque es el CISO quien está a cargo de la seguridad de TI, hoy es el director financiero el más interesado en una gestión eficaz del riesgo cibernético. Ambos deben aprender a trabajar juntos para establecer una estrategia eficaz.

Los canales de comunicación abiertos son críticos para las estrategias de gestión de riesgos cibernéticos de las organizaciones, dijo Michael Siegel, científico investigador principal de la MIT Sloan School of Management. Sin embargo, los informes de los CISO a las juntas directivas sobre el riesgo de ciberataques apenas se están convirtiendo en una práctica habitual.

"La comprensión del riesgo cibernético y la notificación del riesgo cibernético al directorio era tal vez inexistente, excepto en las compañías financieras de primer nivel", dijo Siegel, también director asociado del Consorcio Interdisciplinario del MIT para Mejorar la Ciberseguridad de la Infraestructura Crítica.

Sin embargo, a medida que las brechas de datos y los ataques de ransomware se han convertido en elementos regulares en los titulares de las noticias, la demanda de las juntas por más información cibernética está aumentando. "Ahora estoy escuchando informes trimestrales, informes mensuales. Estoy escuchando al director de seguridad de la información (CISO) informar y trabajar en las presentaciones de evaluación de riesgos para la junta”.

Michael Siegel.

Comunicar sobre la amenaza de los ciberataques es complicado, dijo Siegel, porque otros riesgos que enfrentan las organizaciones –el potencial de ser golpeadas con juicios, por ejemplo, o sufrir daños a la propiedad después de un desastre natural– se gestionan en la oficina de gestión de riesgos, con esfuerzos normalmente dirigidos por un director de riesgos (CRO) o el director financiero (CFO).

Esos ejecutivos y el CISO tienen puntos de vista diferentes de la gestión del riesgo cibernético, dijo. Tome el seguro cibernético, también conocido como cobertura de seguro de responsabilidad cibernética, que puede ayudar a las organizaciones a compensar el daño financiero de una brecha de datos. Alrededor de un tercio de las compañías estadounidenses tienen políticas ahora, según un informe de PwC, pero el mercado está creciendo y se proyecta que llegue a 7.500 millones de dólares en 2020.

Son los CFOs y los CROs quienes están alimentando ese interés. Los CISOs, no tanto.

"Para el CISO –exageraré esto, pero– el seguro cibernético realmente no significa nada", dijo Siegel. "Es algo que el CFO hace para manejar el riesgo final de la empresa. Para el CISO, que mis sistemas funcionen y que no soy atacado, y que no tenemos tiempo de inactividad –el aspecto operacional de mantener las cosas funcionando– es lo más importante".

El CISO está, quizás, en una mejor posición para entender cuál es el riesgo de, digamos, introducir nuevas tecnologías en la organización, dijo, destacando la importancia de una clara comunicación entre el jefe de seguridad de TI y el CFO en la protección contra ataques cibernéticos.

"Ellos tienen que entender cómo hablar entre sí y hacer que las dos cosas funcionen".

Próximos pasos

Más sobre gestión de riesgo:

Ciberataques impulsan gestión de riesgos en Brasil

Entendiendo los componentes de gestión del riesgo de seguridad de la información

Gestión de riesgos de seguridad de la información: Comprensión de los componentes

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close