A medida que los ciberataques aumentan y se hacen más costosos, la coordinación de la ciberseguridad en todas las unidades de negocio se ha vuelto más importante que nunca. Al aunar los esfuerzos del Chief Information Security Officer (CISO) y del Chief Risk Officer (CRO), las empresas pueden adoptar un enfoque proactivo para minimizar los ciberriesgos.
Principales ideas
- Puede que el CISO y el CRO no siempre hayan colaborado estrechamente, pero los ciberriesgos están uniendo ambos roles.
- Los nuevos requisitos normativos y el aumento de las ciberamenazas tras la pandemia de COVID-19 han llevado a las empresas a reexaminar sus estrategias de ciberseguridad.
- La colaboración entre el CISO y el CRO para comprender la verdadera postura de ciberriesgo de la empresa es una parte clave de su salud cibernética.
Introducción
Los ciberataques van en aumento, con el ransomware, la suplantación digital, el ciberespionaje y las filtraciones de datos obligando a las empresas a encontrar nuevas soluciones para gestionar los ciberriesgos. Las organizaciones están aprendiendo que la colaboración entre el Chief Information Security Officer (CISO) y el Chief Risk Officer (CRO) es cada vez más necesaria para coordinar los esfuerzos de ciberseguridad.
«Cada vez es más necesario que estos responsables colaboren porque los suscriptores buscan controles muy específicos y técnicos sobre el funcionamiento de su programa de seguridad«, declara Dave Dalva, SVP, Cyber Resilience and Stroz Friedberg Digital Forensics and Incident Response de Aon.
«Con el enfoque del CRO en la mejora de los resultados de los seguros de transferencia de riesgos y con el enfoque del CISO en la aprobación del presupuesto para las iniciativas de ciberseguridad, ahora los dos roles deben trabajar conjuntamente«, explica Jenifer White Visek, Vice President, Proactive Cybersecurity Advisory de Aon. «Lo sepan o no, hablan el mismo idioma«.
En profundidad
Aunque proceden de entornos diferentes, unificar las roles del CISO y el CRO forma parte del desarrollo de una estrategia global sólida para evaluar y gestionar la ciberseguridad. Cuando se alinean, la comprensión del CRO de los riesgos financieros y las lagunas de control que conllevan primas, y el conocimiento del CISO de las ciberamenazas y los controles de protección, pueden ayudar a fundamentar los aspectos críticos de gobernanza, operativos y técnicos de la construcción de un enfoque de ciberseguridad fuerte en toda la organización.
En la comunidad de inversores del private equity o capital de inversión, salvar la distancia entre el CISO y el CRO no sólo contribuye a un enfoque integral del riesgo, sino que también responde a las preocupaciones actuales de los líderes empresariales. «Los CFO de las empresas en cartera, los socios operativos que gestionan las empresas en cartera y los miembros de los equipos de operaciones quieren entender más sobre el ransomware y conocer las tendencias en ciberseguros«, indica Dalva. «Sin duda, es algo que ahora se tiene muy en cuenta en los consejos de administración«.
Ciberriesgos y riesgos de seguros en un mundo pospandémico
En los años transcurridos desde el inicio de la pandemia de COVID-19, han aumentado los ciberataques. Según White Visek, el trabajo a distancia y otras realidades del lugar de trabajo posteriores a la pandemia provocaron pérdidas y pagos inesperados por parte de las aseguradoras y aumentaron la complejidad de los seguros y los ciberriesgos.
«Esas pérdidas hicieron que los mercados de seguros examinaran más detenidamente los controles de ciberseguridad de las organizaciones, y por primera vez vimos que la ausencia de controles influía en la asegurabilidad«, añade White Visek.
Aunque tanto los CISO como los CRO tienen la intención de reducir estos riesgos, es posible que no sepan hasta qué punto sus objetivos están realmente alineados entre sí. Parte de esta desconexión puede deberse a la distinta formación del CISO y el CRO, pero la adopción de un enfoque más global de la gestión de los ciberriesgos podría unir estos dos roles, además de otros roles de la organización.
«Ya se trate del CFO, el general counsel o el Chief Operating Officer, las empresas deben adoptar una visión más integral del ciberriesgo«, afirma Dalva. «El ciberriesgo no es sólo cuestión de protegerse, no es sólo cuestión de seguros y no es sólo cuestión de ser capaz de gestionar incidentes. En realidad, se trata de todo eso junto. Es un continuo«.
El papel de la normativa
Además de legislaciones internacionales como el RGPD, los estados, los países e incluso las industrias tienen sus propios requisitos normativos en torno a la protección de datos y la ciberseguridad. Dalva señala que la Comisión de Bolsa y Valores de Estados Unidos (SEC) está examinando ahora más de cerca el ciberriesgo, y que una serie de sectores también se ven cada vez más afectados.
«Algunos sectores están más regulados y tienen un mayor impacto normativo potencial, como los servicios financieros y la sanidad, pero todos tienen este problema«, expone Dalva.
Los requisitos normativos también están impulsando a las empresas a reevaluar lo que saben sobre el ciberriesgo y cómo lo abordan a través de estrategias internas e informes; las recientes directrices de la SEC proponen una gobernanza mucho más sólida y una mayor concienciación de los consejos de administración sobre la ciberhigiene. «Esto demuestra que el interés y la concienciación sobre los ciberriesgos seguirán siendo una prioridad empresarial«, destaca White Visek.
La colaboración entre los CISO y los CRO
Las necesidades de determinados sectores pueden inspirar una colaboración más estrecha entre los CISO y los CRO, aunque un enfoque de ciberseguridad unificado es importante para todas las empresas.
«Cuanto más maduras y avanzadas suelen ser las empresas, como los servicios financieros y los bancos de inversión, más tienen que perder«, explica Dalva, que añade que las firmas de capital de inversión están cada vez más atentas al ciberriesgo debido al impacto que las pérdidas cibernéticas tienen en las empresas.
«Aunque la sanidad, el comercio minorista y el sector financiero han sido históricamente los principales objetivos debido a la cantidad de datos confidenciales que albergan, el auge del ransomware ha cambiado las reglas del juego«, apunta White Visek. «Hemos visto violaciones cibernéticas en todo tipo de sectores. Toda organización es un objetivo potencial, y la necesidad de una base sólida de cibercontroles nunca ha sido más importante«.
Otras partes de la empresa también pueden ayudar a aunar los esfuerzos del CISO y el CRO para apoyar la ciberseguridad. «Los CFO suelen supervisar las funciones de los CISO y los CRO«, indica Dalva. «Si el CFO tiene una mayor comprensión de cómo la inversión en cibercontroles adecuados se traduce en la mitigación del impacto financiero de los ciberataques o las limitaciones en la cobertura, pueden alentar a otros directivos y partes interesadas a ser más proactivos en el apoyo a iniciativas críticas«.
Desarrollar una comprensión global de cómo los roles trabajan juntos dentro de una empresa también puede ayudar a minimizar el ciberriesgo. «El CISO trabaja para reducir el perfil de riesgo y crear normas y controles que cumplan o superen los marcos o directrices de ciberseguridad«, señala White Visek. «Las mejoras que los equipos de TI y de seguridad han realizado para reducir la superficie de ataque y proteger mejor los datos y la infraestructura de una organización es una historia de éxito que el CRO debe ser capaz de entender y articular durante las conversaciones de colocación«.
Al incluir al CISO y al CRO en una conversación compartida sobre ciberriesgos desde el principio, las empresas pueden evitar futuras pérdidas.
«Si el CISO y el CRO no trabajan juntos de forma proactiva, tendrán que hacerlo de forma reactiva«, afirma Dalva. «Los incidentes son situaciones estresantes que afectan a todas las partes interesadas de la empresa y repercuten en su capacidad para realizar su trabajo normal«.
Un enfoque maduro de ciberseguridad podría mejorar los resultados en términos de cobertura, minimizando al mismo tiempo los riesgos financieros y de reputación. Y la alineación entre el CISO y el CRO debe estar integrada en los roles desde el principio.
«Al darse cuenta de que estos dos roles se enfrentarán al mismo escrutinio de los cibercontroles de diferentes partes interesadas, pero en última instancia necesitan el mismo resultado (reducir el perfil cibernético de la organización), las organizaciones pueden dar pasos significativos en la colaboración para crear una cultura de ciberresiliencia«, concluye White Visek.
