• En 2023, por primera vez 41% de los CISO’s (Directores de la seguridad de la información de las empresas) fueron invitados permanentes a sus juntas de consejo.
  • Para lograr enganchar a la organización en un diálogo de cuidado de riesgo, es indispensable hablar en lenguaje de negocio y dejar los tecnicismos a un lado.
  • El día que llegue un ataque (¡y seguro va a llegar!) solo el trabajo en equipo y planes de acción premeditados te pueden salvar.
  • ¿Ya conoces nuestra cuenta de Threads? Síguenos.

Mientras que todos los días leemos notas de ciberataques y hackeos por todo el mundo, que afectan –según Cyberedge Threat Report 2023– a 84.7% de las empresas a nivel global, solo el 41% de los consejos de administración en el mundo tocan hoy el tema de ciber riesgo en sus encuentros. ¿Qué pasa con el resto de las empresas? ¿Dónde está su nivel de conciencia de riesgo? ¿Qué tanto lo entienden? ¿Qué tanto lo atacan?

En el marco del congreso de Cybertech en su edición de América Latina, que tuvo lugar el 13 y 14 de marzo en Panamá, poco más de un millar de expertos se sentaron a discutir el estado de la ciberseguridad en América Latina. 

Mientras figuras muy reconocidas como Stanley Motta, Chairman de COPA Airlines, un conglomerado de empresas y uno de los empresarios Panameños más admirados, aseguran que en cada junta de sus consejos hoy se discute el riesgo cibernético,  la mayoría de las empresas de la región están muy lejos de esa realidad.

Tuve la oportunidad de platicar con dos de los CISO más respetados de América Latina que enfrentan retos muy diferentes: Jesus Consuelos, CISO Global de Cinépolis –una empresa privada de entretenimiento con presencia en 18 países– y Edwin Reina, ex-CISO del Canal de Panamá –una institución pública que cuida el activo más importante de la economía panameña responsable de  3% del comercio mundial–.

Cortesía.

Me compartieron sus consejos para resolver dos preguntas medulares:

¿Cómo comunicarse con éxito con tu junta directiva?

  • Es importante aprender a hablar con cada miembro de la junta directiva en su mismo idioma, esto es, el CFO tiene que conocer el ROI, el COO tiene que entender continuidad de negocio, el CEO reducción del riesgo y preservación de valor.  Se tiene que tender un puente del lenguaje técnico al de negocios.  El CISO, al final, no puede ser el único que comunica estos mensajes, necesitan reclutar aliados.
  • Es importante aprender a hablar con cada miembro de la junta directiva en su mismo idioma, esto es, el CFO tiene que conocer el ROI, el COO tiene que entender continuidad de negocio, el CEO reducción del riesgo y preservación de valor.  Se tiene que tender un puente del lenguaje técnico al de negocios.  El CISO, al final, no puede ser el único que comunica estos mensajes, necesitan reclutar aliados.
  • Es importante aprender a hablar con cada miembro de la junta directiva en su mismo idioma, esto es, el CFO tiene que conocer el ROI, el COO tiene que entender continuidad de negocio, el CEO reducción del riesgo y preservación de valor.  Se tiene que tender un puente del lenguaje técnico al de negocios.  El CISO, al final, no puede ser el único que comunica estos mensajes, necesitan reclutar aliados.

¿Cuales son los grandes aprendizajes el día que tienes un ataque?

  • El primero y más importante es que los directivos sepan que siempre se tendrá un mal día, que un ataque va a suceder, y se tiene que reaccionar basado en un plan.
  • Reconocer que es un momento sumamente difícil para la organización donde como responsable de liderar el resolverlo, no puedes perder la calma y tienes que ser excelente comunicador del progreso y de las expectativas de recuperación (que puede tomar meses!).
  • Trabajar en equipo, esto no lo puedes resolver solo, necesitas de tus proveedores, de todos los directivos, y si es necesario a las autoridades y  agencias gubernamentales (en el caso de Infraestructura crítica).
  • Asegurarse que terminas un análisis forense, entender la raíz del ataque, traer expertos y adoptar y transferir el conocimiento para que no suceda otra vez.

El reto es enorme, ya que hay que educar y, al mismo tiempo, hay que operar y asegurarse que existen los controles de riesgo y de mitigación para incrementar la resiliencia de la organización.

Los ciberataques siguen en crecimiento en el mundo, y la única opción que tienen hoy los empresarios y sus consejos es educarse.

* Manuel Rivera es CEO y socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad.

Las opiniones publicadas en esta columna son responsabilidad del autor y no representan ninguna posición por parte de Business Insider México.

Descubre más historias en Business Insider México

Síguenos en Facebook, Instagram, LinkedIn, TikTok, Threads, Twitter y YouTube

Consulta a más columnistas en nuestra sección de Opinión