Los CISO’s y los Consejeros se van a reunir a menudo. O al menos esto es lo que se desprende de las últimas directivas del “Securities and Exchange Commission” de EEUU. La SEC quiere que los Consejeros tengan un conocimiento de qué es la Ciber-seguridad, especialmente en términos de concienciación. Es decir, no es que se vayan a convertir en expertos cibernéticos, pero es fundamental que entiendan:
– Los riesgos
– Las consecuencias
– Las responsabilidades que les van a caer si algo sucede, y sobretodo
– Que pongan a un nivel igualitario con otros temas clásicos generadores de posible riesgo para la empresa.
En resumidas cuentas, que asuman que hay que gestionar el riesgo de ciberseguridad.
De acuerdo a estas iniciativas, las compañías van a tener que informar del grado de conocimiento en ciberseguridad de cada uno de los miembros del Consejo. Es más, tendrán que compartir cuán a menudo la ciberseguridad ha sido un tema de discusión en las reuniones del Consejo, e incluso si existe algún tipo de supervisión por parte del Consejo de los asuntos cibernéticos.
Hay quien dice que esto es demasiado y que este enfoque debiera estar más en la línea de los gestores más que en la de los consejeros. Sin embargo lo que está claro es que la ciberseguridad se ha transformado en uno de los riesgos de negocio clave para compañías de todo tipo y tamaño.
Lo que nosotros prevemos es que tanto el role del CISO como de la Alta Dirección y de los Miembros del Consejo está cambiando y aún más que va a cambiar. Unos para ser capaces de explicar y concienciar en un lenguaje no-técnico los “misterios” de la ciberseguridad. Otros para incorporar en su visión del negocio la variable de ciberseguridad como un elemento clave de riesgo transversal.
Artículo recomendado:
Boards, Security Chiefs Face Challenges Over New Cyber Rules de James Rundle en el WSJ.
