Cómo conseguir que tu junta directiva se preocupe por la seguridad (antes de que una brecha de seguridad obligue a abordar el tema)

Si alguna vez has leído uno de esos artículos sobre «Plantillas de informes para consejos de administración para CISO» y has pensado: «Ah, sí, seguro que mi consejo dedicará 25 minutos a mi panel de control de seguridad y me hará preguntas de seguimiento sobre la velocidad de reducción del backlog de vulnerabilidades», entonces tengo una noticia maravillosa para ti: no has conocido a suficientes consejos de administración.

La mayoría de los consejos de administración de las empresas no quieren un panel de control de seguridad. No quieren métricas de postura. No quieren un mapa de calor que parezca un informe de riesgos de lanzamiento de la NASA. Lo que quieren, lo digan explícitamente o no, es apoyo para la toma de decisiones.

Quieren una forma defendible de elegir entre narrativas de riesgo contrapuestas. Quieren saber si deben invertir en la mitigación A o B. Quieren reducir la incertidumbre. Quieren evitar sorpresas que puedan acabar con su carrera, y aquí viene la parte que la mayoría de los responsables de seguridad no quieren oír:

Las juntas directivas no financian la seguridad porque sea importante. Financian la seguridad cuando la decisión parece racional, limitada y defendible.

Hablemos de cómo lograrlo.

Por qué a los consejos de administración no les importa la seguridad

Las juntas directivas no están en contra de la seguridad. No son imprudentes ni estúpidas. Simplemente están optimizadas, desde el punto de vista estructural, cultural y psicológico, para debatir los resultados.

La seguridad es una disciplina peculiar, ya que el mejor resultado posible es que no ocurra nada. Sin titulares. Sin interrupciones. Sin reuniones de emergencia. Sin negociaciones de rescate. Sin llamadas repentinas preguntando «¿cómo ha podido ocurrir esto?».

Y «no pasó nada» no es un resultado que la junta pueda valorar fácilmente. Es un vacío. Es hipotético. Es contrafactual. Es una historia de fantasmas. Por lo tanto, la junta cae naturalmente en la mentalidad en la que cae todo ser humano:

«Hasta ahora no ha pasado nada».

Lo cual es una lógica trágicamente seductora. También es una de las frases más caras de la historia empresarial. El problema es que la ausencia de pruebas no es prueba de ausencia. A menudo es más bien prueba de suerte, oscuridad o mala detección. Las juntas directivas no están siendo irracionales en este caso. Están aplicando el mismo razonamiento que utilizan en otros ámbitos:

• Si realizamos envíos, obtenemos ingresos.
• Si comercializamos, vemos el canal de distribución.
• Si contratamos, vemos resultados.
• Si reducimos los costes, vemos margen.

¿Pero y la seguridad? La métrica del éxito es un espacio negativo. Así que, a menos que les ayudes a sentir que la decisión es concreta y limitada, la seguridad siempre quedará relegada a algo que está bien tener.

Por qué «Confía en mí, esto es importante» nunca funciona

Hay dos presentaciones comunes sobre seguridad a nivel de la junta directiva:

Ambos enfoques son falsos y ambos enfoques fracasan. Las juntas directivas no responden bien al pánico porque el pánico no es un plan. El pánico es una petición de confianza emocional, y las juntas directivas están diseñadas explícitamente para no funcionar con base en las emociones.

Y las juntas directivas no responden bien a un «todo va bien», porque entonces la pregunta es por qué se necesita más dinero. El CISO se ve obligado a caminar por la cuerda floja entre parecer alarmista y parecer un burócrata con exceso de financiación. No se quiere que la junta directiva sienta miedo. Se quiere que sienta claridad y confianza.

Cómo piensan realmente los consejos de administración sobre el retorno de la inversión y el riesgo

Los responsables de seguridad suelen intentar erróneamente «demostrar el retorno de la inversión» como lo harían los departamentos de marketing o ventas. Los consejos de administración no conciben la seguridad como si fuera un ingreso, sino como un riesgo, un seguro y una capacidad de recuperación.

Aquí está el modelo mental del tablero, simplificado:

• ¿Qué están haciendo nuestros competidores?
• ¿Cuál es nuestra pérdida esperada?
• ¿Cuál es el coste de reducirlo?
• ¿Cuál es la probabilidad?
• ¿Cuál es el impacto?
• ¿Cuál es la incertidumbre?
• ¿Cuál es el peor resultado operativo plausible?

Los marcos de seguridad tienden a tener un sesgo preventivo. Asumen que podemos evitar que sucedan cosas malas si implementamos suficientes controles y compramos suficientes herramientas. Las juntas directivas entienden algo que los equipos de seguridad a veces olvidan: la prevención no es binaria. Algunos fallos son inevitables. Como dice el mantra de la seguridad de la información, no se trata de si se producirá una brecha, sino de cuándo. Por eso las juntas directivas financian los seguros, pero se resisten a aumentar el gasto en herramientas de seguridad.

El seguro es un instrumento financiero delimitado. Tiene una prima, una póliza y un pago. Aunque no lo cubra todo, es una forma de decisión familiar.

Las inversiones en seguridad suelen ser compromisos abiertos:

• «Necesitamos una plataforma».
• «Necesitamos un programa».
• «Necesitamos mejorar nuestra postura».
• «Necesitamos más herramientas».

Las juntas directivas escuchan: «Necesitamos un cheque en blanco para luchar contra un enemigo invisible para siempre». Esa no es una petición que les guste. La junta directiva quiere tener opciones para poder tomar una decisión.

El coste real de una infracción

La mayoría de los debates sobre el coste de las infracciones se quedan en la superficie:

• multas
• acuerdos legales
• Daño a la imagen pública

Esos aspectos son importantes, pero la realidad operativa es peor y más relevante. El verdadero coste de una infracción es la reasignación forzosa de su recurso más escaso: la atención de los ingenieros. Un incidente grave no solo cuesta dinero. Desplaza el trabajo planificado. Roba trimestres de desarrollo.

La respuesta a incidentes no consiste «solo en que el departamento de TI lo solucione todo». La respuesta real a incidentes incluye:

• Investigación forense que requiere dispositivos de cadena de custodia fuera de servicio.
• Actualización del hardware (porque no se puede confiar en los terminales comprometidos).
• Restablecimiento de identidad de emergencia y rediseño del acceso
• Reestructuración de la nube bajo presión
• Reemisión de secretos y certificados
• Revalidar las copias de seguridad (que también pueden estar comprometidas).

Es complicado, caro y perturbador (pregúntele a Caesars o a 23andMe).

La confianza y la pérdida de clientes tampoco son cuestiones teóricas. La fidelidad se gana con esfuerzo y se pierde fácilmente, especialmente en los contratos empresariales, donde los ciclos de renovación crean una vía de salida natural.

Después de una brecha, la pregunta no es «¿cómo lo hizo el atacante?». La pregunta pasa a ser: «¿Quién sabía qué y cuándo?». De repente, su programa de seguridad ya no se evalúa por sus méritos técnicos. Se evalúa por su defendibilidad narrativa por parte de los críticos de salón.

Lo que nos lleva a la incómoda verdad:

El primer ataque es el agente malicioso.
El segundo ataque es todo el mundo.

Cómo hablar sobre incidentes de violación de datos

Los CISO con experiencia no se obsesionan con la probabilidad de que se produzca una violación. Hablan de la cadencia de las violaciones.

Porque la cuestión no es si alguna vez tendrás un incidente. La cuestión es:

• ¿Con qué frecuencia te enfrentarás a compromisos?
• ¿Con qué rapidez lo detectarás?
• ¿Qué tan bien puedes contenerlo?
• ¿Con qué rapidez puede restablecer las operaciones?

Se trata de un enfoque basado en la resiliencia, no en la prevención. Y si alguien dice: «Nunca hemos sufrido una brecha de seguridad», la respuesta correcta no es discutir, sino replantear el tema con delicadeza. Cuanto más maduro sea su sistema de detección, más incidentes y brechas descubrirá. Esto resulta profundamente contrario a la intuición para los ejecutivos. En otras palabras, una mayor visibilidad puede hacer que parezca «peor» antes de que le haga más seguro.

Los atacantes también aprovechan las fallas básicas de higiene mucho más a menudo que los atractivos zero-days. El mito de que las brechas requieren adversarios de élite es reconfortante, pero suele ser erróneo. Los atacantes modernos se mueven rápidamente. El tiempo medio de explotación se mide ahora en minutos y horas, no en días y semanas, especialmente porque la IA acelera el desarrollo de exploits y la escala del phishing. Su resiliencia viene definida por su capacidad de adaptación y no por su capacidad para restaurar copias de seguridad y volver a un estado anterior. Porque el estado anterior era la configuración vulnerable que le llevó a sufrir la brecha en primer lugar.

Las únicas métricas de seguridad que realmente importan a métricas de seguridad

Las juntas directivas no quieren un tablero de instrumentos. Quieren un volante. Entonces, ¿qué métricas de seguridad ?

Tendencias en la exposición al riesgo

No se trata del «número de vulnerabilidades», sino de cómo está cambiando su exposición y por qué. Informe siempre en porcentajes y diferencias con respecto a las métricas del trimestre anterior, y no en números absolutos de vulnerabilidades.

Tiempo hasta la detección y tiempo hasta la reparación

Se trata de métricas operativas con un significado comercial directo. Incluye métricas de corrección automática a partir del análisis de código en busca de secretos compartidos, configuraciones vulnerables con tu CSPM, desviaciones de configuración y riesgos de la cadena de suministro, como los recientes ataques NPM Shai-Hulud.

Reducción del radio de explosión

Este es el concepto de seguridad más relevante para la junta directiva: la contención. No se trata de «¿podemos apagar todos los incendios?», sino de «¿podemos evitar que un incendio en la cocina queme todo el edificio?». 

Aquí es donde el pensamiento hipotético cobra fuerza. El blog SRE de Google popularizó la «rueda de la desgracia» con ejercicios semanales de simulación: simulaciones estructuradas y recurrentes de incidentes. La NASA utiliza un concepto similar: el «pre-mortem». Se parte de la base de que se producirá un fallo y se trabaja hacia atrás para comprender cómo ocurrirá. La ingeniería del caos de seguridad es la evolución de esto: experimentos meditados en torno a estados de fallo, basados en la realidad operativa, no en el teatro.

Lo desconocido conocido frente a los puntos ciegos

Las juntas directivas pueden entender la incertidumbre. No pueden entender «tenemos 13 492 vulnerabilidades críticas». Pero pueden entender:

• «No sabemos si es posible el movimiento lateral entre estos entornos».
• «No disponemos de una validación objetiva de nuestra superficie de ataque externa».
• «No sabemos si nuestro proceso de detección puede detectar el relleno de credenciales».

Por eso, las pruebas de penetración realizadas por terceros son increíblemente valiosas cuando se utilizan correctamente. No como una simple casilla que marcar, sino como un descubrimiento objetivo y una validación del mecanismo de riesgo.

métricas de seguridad perjudican tu caso

Ahora hablemos de las métricas que hacen que las juntas directivas y los altos directivos dejen de prestar atención.

Recuento de herramientas

Más herramientas no significa más seguridad. Cada herramienta es, en realidad, un usuario con privilegios. Cada una se convierte en parte de la superficie de ataque. Cada una añade complejidad operativa. Una madurez profunda con unas pocas herramientas es mejor que implementaciones superficiales de docenas de herramientas.

Volúmenes de vulnerabilidad

No todos los críticos y altos son iguales. El auge del pensamiento al estilo EPSS lo deja claro: solo un pequeño porcentaje de vulnerabilidades se aprovechan en infracciones reales. Las métricas basadas en el volumen confunden la priorización.

Totales de gravedad de CVE

La gravedad no es lo mismo que la explotabilidad. La accesibilidad y el contexto son más importantes. Las juntas directivas no quieren financiar una guerra de números porque simplemente no se puede ganar.

Porcentajes de cumplimiento

Todas las empresas que sufrieron violaciones de seguridad tenían auditorías e informes de cumplimiento. El cumplimiento es un listón bajo. El objetivo es la seguridad real. Cuando los CISO presentan estas métricas al consejo de administración, suelen hacerlo porque son las más fáciles de elaborar. Pero fácil no es sinónimo de persuasivo.

Utilizar los POC para convertir el riesgo hipotético en evidencia

Una de las herramientas más eficaces con las que cuenta un responsable de seguridad es la prueba de concepto remunerada. No como una competición de características, sino como un experimento de descubrimiento estructurado. Una buena prueba de concepto es segura para la junta directiva, ya que aporta pruebas sin sembrar el pánico. Puede:

• problemas críticos desconocidos en la superficie
• validar si una descripción del riesgo es real
• reducir la incertidumbre en torno a los controles actuales
• proporcionar una base defendible para la inversión

La clave es tratarlo como un experimento empresarial:

• Defina la hipótesis.
• Defina los criterios de éxito.
• Defina el intervalo de tiempo.
• Define cómo es un «no».

Entonces puedes volver a la junta y decir: «Hemos realizado una evaluación limitada. Esto es lo que hemos aprendido. Estas son las opciones de decisión». A las juntas les encantan las decisiones limitadas.

Asignaciones presupuestarias tras una infracción

Hay un patrón trágico en el liderazgo en materia de seguridad: infracción → «te lo dije» → presupuesto desbloqueado.

Pero esto es un regalo envenenado. Porque al CISO posterior a la violación se le suelen conceder los recursos que el CISO anterior a la violación solicitó y le fueron denegados. Y al CISO anterior a la violación se le suele mostrar la puerta de salida. Esto no solo es injusto, sino que también perjudica a la organización. Debido al segundo ataque, los críticos, los investigadores, las aseguradoras y los reguladores suelen destruir la credibilidad del CISO, incluso si este ha gestionado bien el incidente.

Muchos CISO no sobreviven al segundo ataque. Y entonces, la planificación de la sucesión, o la falta de ella, introduce una ventana de vulnerabilidad completamente nueva. Los actores maliciosos lo saben. Se aprovechan de ello. Explotan el caos del cambio de liderazgo. Puedes acabar luchando una guerra en dos o tres frentes:

• atacantes oportunistas
• crimen organizado
• inestabilidad organizativa interna

La forma de evitar esta trampa es crear un sistema de apoyo a la toma de decisiones a nivel directivo antes de que se produzca la infracción.

Cómo manejar las objeciones comunes

Los ejecutivos y los consejos de administración tienen un pequeño conjunto de objeciones predecibles. El error es rebatirlas como si se tratara de un debate. Lo correcto es reformularlas como si se tratara de una decisión. También debe asegurarse de leer el «Apéndice A: Preguntas que el consejo de administración debe plantear a la dirección sobre ciberseguridad» del Manual para consejos de administración 2017 de la NACD y estar preparado para responder a cada una de esas preguntas.

«Es demasiado caro».

¿«Caro» en comparación con qué? ¿En comparación con la pérdida prevista? ¿En comparación con el coste del tiempo de inactividad? ¿En comparación con el coste de oportunidad de los sprints de ingeniería y los entregables desviados?

«Ya tenemos algo».

Se trata de una objeción basada en un punto ciego y suele incluir referencias a los servicios incluidos en la suscripción a Microsoft 365. No discuta sobre la sustitución, sino que hable de cómo Microsoft Defender es necesario, pero no suficiente. Hable de los resultados:

• ¿Qué podemos detectar?
• ¿Qué podemos prevenir?
• ¿Qué podemos contener?
• ¿Qué es lo que no sabemos?

«Ya cumplimos con la normativa».

El cumplimiento normativo no es sinónimo de reducción del riesgo. Es la prueba de que has superado una lista de verificación. No es la prueba de que puedas sobrevivir a un incidente.

«Lo construiremos internamente».

Las decisiones internas de construcción deben incluir:

• carga de mantenimiento
• costos de capacitación para nuevos empleados
• costo de oportunidad
• riesgo de propiedad a largo plazo

La decisión de crear o comprar debe tener en cuenta si se trata de una competencia básica. Las herramientas de seguridad no son «un proyecto puntual». Son un compromiso operativo y un proceso continuo. Durante muchos años, la gestión de los sistemas de correo electrónico corporativos recayó en un equipo de TI formado por varias personas. Ahora se subcontrata en gran medida a Microsoft y Google, con resultados de seguridad mucho mejores y un coste menor. Phil Venables me comentó una vez que lo que más lamentaba de su etapa al frente de la seguridad en Goldman Sachs era que internalizaran demasiadas de sus capacidades solo porque podían hacerlo. No porque fuera lo correcto.

«Usaremos código abierto».

El código abierto es sin duda excelente y digno de confianza. Pero las juntas directivas deben comprender la diferencia entre:

• capacidad
• fiabilidad
• responsabilidad

El código abierto te proporciona código. No te ofrece una garantía de servicio ni «un cuello al que estrangular».

«Las pruebas de penetración son suficientes».

Las pruebas de penetración son instantáneas puntuales, que a menudo se realizan solo una vez al año. Los consejos de administración deben exigir una gestión continua de los riesgos.

«Eso no nos afectará / Nunca nos hackearán».

La confianza es una suposición. Las suposiciones deben validarse. Aquí es donde cobra importancia la orientación sobre la gobernanza del consejo de administración. El consejo no necesita adquirir conocimientos técnicos, pero sí debe ser capaz de tomar decisiones sobre los riesgos informáticos y las interrupciones del negocio para comprender la naturaleza de los riesgos de ciberseguridad como riesgo sistémico.

Cómo es un caso de inversión en seguridad listo para presentar a la junta directiva

Entonces, ¿cómo es realmente una inversión en seguridad creíble?

Una definición clara de los riesgos y un marco pertinente

La elección del marco es importante. Algunos marcos están quedando obsoletos y no son adecuados para las empresas nativas de la nube. Una de las peores cosas que se pueden hacer es permitir que la organización se conforme con un criterio de medición anticuado. Los controles principales del CIS se encuentran entre los mejores marcos de ciberseguridad porque se actualizan periódicamente y se adaptan a las innovaciones y técnicas basadas en la nube.

Reducción cuantificable de la incertidumbre

La seguridad no se trata solo de controles. Se trata de reducir la ambigüedad. Y aquí está la cita sobre liderazgo que quiero que todos los ejecutivos memoricen:

«Como gerentes, ejecutamos un plan,
como líderes, gestionamos la escasez, y
como ejecutivos, gestionamos la ambigüedad».

Las juntas directivas gestionan la ambigüedad. Tu trabajo consiste en ayudarles a reducirla presentándoles el contexto y los datos.

Evaluación con plazos definidos y retorno de la inversión cualitativo.

No lo compliques demasiado. Manténlo conceptual. «¿Cómo sería el éxito en 90 días? ¿Y en 6 meses?» ¿Cuándo se amortiza la solución en términos de ahorro de costes o de desmantelamiento de una herramienta heredada que ya no ofrece controles de seguridad eficaces ni evita riesgos?

Criterios de éxito definidos

Requisitos funcionales y no funcionales:

• disponibilidad
• confidencialidad
• integridad
• gastos generales operativos
• impacto de la resiliencia

Así es como se presenta la solicitud de manera que la junta directiva pueda aprobarla sin sentir que están apostando por una esperanza y una plegaria.

El único error que cometen los CISO cuando hablan con los consejos de administración

El mayor error que cometen los CISO es pensar que la junta directiva financiará la seguridad porque es importante. Las juntas directivas no financian lo que es importante. Financian decisiones defendibles. Por lo tanto, el objetivo no es impresionarlos con la complejidad del panorama de amenazas.

El objetivo es ofrecerles una compensación limitada y racional:

• Aquí están las narrativas de riesgo contrapuestas.
• Esto es lo que sabemos.
• Esto es lo que no sabemos.
• Estas son las opciones.
• Aquí está el costo.
• Esto es lo que cambiará si actuamos.
• Esto es lo que sigue siendo incierto si no lo hacemos.

Cuando haces eso, la junta puede hacer su trabajo. Y, irónicamente, es entonces cuando empiezan a preocuparse por la seguridad.

La estratificación del ritmo y por qué la gobernanza avanza lentamente

Los buenos programas de seguridad operan en múltiples capas de cambio. El modelo de capas de ritmo de Stuart Brand resulta útil en este caso:

• Moda
• Comercio
• Infraestructura
• Gobernanza
• Cultura
• Naturaleza

La tecnología avanza rápidamente en la vanguardia, al igual que la moda. La gobernanza avanza lentamente, y esa lentitud no es un problema que haya que resolver. Es la capa de estabilidad que evita que las empresas se tambaleen. Si quieres que la junta directiva actúe, tienes que hablar en términos de gobernanza: decisiones delimitadas, ambigüedad reducida, compensaciones defendibles. Porque hablar con la junta directiva es la parte fácil.

Lo difícil es añadir valor a su forma de pensar.