Un CISO no basta para solventar las carencias del consejo de administración en ciberseguridad

El presidente de una gran empresa europea se puso en contacto conmigo mientras tomábamos unas copas en un acto para miembros de consejos de administración y directores generales sobre cómo potenciar la resiliencia en materia de seguridad de las empresas. Nos pusimos a hablar de los riesgos de ciberseguridad, una grave preocupación para muchos consejos de administración. Le preocupaba su capacidad para evaluar intuitivamente las informaciones relacionadas con la seguridad: “Formo parte de siete consejos de administración y se espera que todos gobernemos el riesgo cibernético, pero ninguno de nosotros tiene ni idea sobre ese tema. ¿Qué debemos hacer?”.

Los consejos de administración actuales afrontan un panorama de amenazas en constante evolución y unas expectativas de gobernanza de la ciberseguridad cada vez más exigentes. La SEC, homóloga estadounidense de la CNMV española, adoptó en julio de 2023 nuevas normas que exigen a las empresas que cotizan en la bolsa en Estados Unidos que describan cómo el consejo de administración supervisa los riesgos derivados de las amenazas a la ciberseguridad y que documenten los procesos mediante los cuales el consejo o un subcomité pertinente recibe información sobre dichos riesgos. En Europa y la región Asia-Pacífico se están llevando a cabo iniciativas similares.

Pero a muchos miembros de los consejos de administración les resulta muy difícil satisfacer esas expectativas y las exigencias normativas. Según una investigación de The Wall Street Journal, el 98% de los miembros de consejos de administración no son expertos en ciberseguridad, como sucedía con el presidente al que me he referido antes. Esto resulta sorprendente, dado que los miembros del consejo de administración son los encargados de recurrir a su propia experiencia para ver más allá del velo de las buenas noticias y averiguar el verdadero estado de los asuntos de la empresa. Sin conocimientos de seguridad, difícilmente podrán detectar cuándo esos materiales tan cuidadosamente seleccionados y presentados que llegan al consejo están maquillando la realidad.

La solución intuitiva (y más rápida) a este problema es incorporar un director de seguridad de la información (CISO) al consejo de administración. De acuerdo con una encuesta de Heidrick & Struggles, la proporción de CISO que forman parte de consejos se ha más que duplicado en tan solo un año, pasando del 14% en 2022 al 30% en 2023.

A primera vista, p...