Cómo lograr que su consejo se preocupe por la seguridad (antes de que una brecha lo obligue)

Si alguna vez ha leído uno de esos artículos sobre “Plantillas de informes para el consejo para CISOs” y ha pensado: “Ah, sí, seguramente mi consejo dedicará 25 minutos a mi panel de postura y hará preguntas de seguimiento sobre la velocidad de reducción del backlog de vulnerabilidades”, entonces tengo una noticia maravillosa para usted: no ha conocido suficientes consejos.

La mayoría de los consejos de empresas no quieren un panel de seguridad. No quieren métricas de postura. No quieren un mapa de calor que parezca una sesión informativa de riesgo de lanzamiento de la NASA. Lo que quieren, lo digan explícitamente o no, es apoyo para la toma de decisiones.

Quieren una forma defendible de elegir entre narrativas de riesgo contrapuestas. Quieren saber si invertir en la mitigación A o B. Quieren reducir la incertidumbre. Quieren evitar una sorpresa que ponga fin a su carrera y aquí está la parte que la mayoría de los líderes de seguridad no quieren oír:

Los consejos no financian la seguridad porque sea importante. Financian la seguridad cuando la decisión parece racional, delimitada y defendible.

Hablemos de cómo lograrlo.

Por qué los consejos no se preocupan por la seguridad

Los consejos no están en contra de la seguridad. No son imprudentes ni estúpidos. Simplemente están optimizados, estructural, cultural y psicológicamente, para las discusiones sobre resultados.

La seguridad es una disciplina peculiar porque el mejor resultado posible es que no ocurra nada. Sin titulares. Sin interrupciones. Sin reuniones de emergencia. Sin negociaciones de rescate. Sin llamadas repentinas de “¿cómo pudo pasar esto?”.

Y “no pasó nada” no es un resultado que el consejo pueda valorar fácilmente. Es un vacío. Es hipotético. Es contrafactual. Es una historia de fantasmas. Así que el consejo cae naturalmente en la mentalidad en la que cae todo ser humano:

“Hasta ahora no ha pasado nada.”

Lo cual es una lógica trágicamente seductora. También es una de las frases más caras en la historia corporativa. El problema es que la ausencia de pruebas no es prueba de ausencia. Con mayor frecuencia es evidencia de suerte, oscuridad o detección deficiente. Los consejos no están siendo irracionales aquí. Están aplicando el mismo razonamiento que usan en otros lugares:

• Si desplegamos, vemos ingresos.
• Si hacemos marketing, vemos pipeline.
• Si contratamos, vemos rendimiento.
• Si reducimos costes, vemos margen.

Pero ¿la seguridad? La métrica de éxito es un espacio negativo. Así que, a menos que les ayudes a percibir la decisión como algo concreto y delimitado, la seguridad siempre será relegada a un 'estaría bien tenerlo'.

Por qué 'Confía en mí, esto es importante' nunca funciona

Hay dos tipos comunes de presentaciones de seguridad a nivel de junta directiva:

Ambos enfoques son falsos y ambos enfoques fallan. Las juntas directivas no responden bien al pánico porque el pánico no es un plan. El pánico es una petición de confianza emocional, y las juntas directivas están explícitamente diseñadas para no operar basándose en emociones.

Y las juntas directivas no responden bien a 'todo está bien', porque entonces la pregunta es por qué se necesita más dinero. El CISO se encuentra atrapado tratando de caminar por la cuerda floja entre sonar como 'Chicken Little' y sonar como un burócrata con exceso de fondos. No quieres que la junta sienta miedo. Quieres que sientan claridad y confianza.

Cómo las juntas directivas realmente piensan sobre el ROI y el riesgo

Los líderes de seguridad a menudo intentan erróneamente 'demostrar el ROI' de la misma manera que lo harían marketing o ventas. Las juntas directivas no piensan en la seguridad de la misma manera que piensan en los ingresos. Piensan en ella como piensan en el riesgo, los seguros y la resiliencia.

Aquí está el modelo mental de la junta directiva, simplificado:

• ¿Qué están haciendo nuestros competidores?
• ¿Cuál es nuestra pérdida esperada?
• ¿Cuál es el coste de reducirlo?
• ¿Cuál es la probabilidad?
• ¿Cuál es el impacto?
• ¿Cuál es la incertidumbre?
• ¿Cuál es el peor resultado operativo plausible?

Los marcos de seguridad suelen tener un sesgo de prevención. Asumen que podemos evitar que ocurran cosas malas si implementamos suficientes controles y adquirimos suficientes herramientas. Las juntas directivas entienden algo que los equipos de seguridad a veces olvidan: la prevención no es binaria. Algunos fallos son inevitables. Como dice el mantra de la ciberseguridad, no es cuestión de si sufrirá una brecha, sino de cuándo. Por eso las juntas directivas financiarán seguros, pero se resistirán a aumentar el gasto en herramientas de seguridad.

El seguro es un instrumento financiero acotado. Tiene una prima, una póliza y un pago. Aunque no lo cubra todo, es un modelo de decisión conocido.

Las inversiones en seguridad a menudo se presentan como compromisos sin límite:

• “Necesitamos una plataforma.”
• “Necesitamos un programa.”
• “Necesitamos una mejor postura.”
• “Necesitamos más herramientas.”

Las juntas directivas escuchan: “Necesitamos un cheque en blanco para luchar contra un enemigo invisible para siempre.” Esa no es una petición bien recibida por la junta. La junta quiere una opción para tomar una decisión.

El coste real de una brecha

La mayoría de las discusiones sobre el coste de una brecha se quedan en la superficie:

• multas
• acuerdos legales
• daños a la reputación

Estos importan, pero la realidad operativa es peor y más relevante. El verdadero coste de una brecha es la reubicación forzada de su recurso más escaso: el enfoque de ingeniería. Un incidente importante no solo cuesta dinero. Desplaza el trabajo planificado. Roba trimestres de desarrollo.

La respuesta a incidentes no es “solo TI arreglando las cosas”. Una respuesta real a incidentes incluye:

• investigación forense que requiere dispositivos con cadena de custodia retirados de servicio
• actualización de hardware (porque no se puede confiar en los endpoints comprometidos)
• restablecimientos de identidad de emergencia y rediseño de accesos
• re-arquitectura de la cloud bajo presión
• reemisión de secretos y certificados
• revalidación de copias de seguridad (que también pueden estar comprometidas)

Es complicado, caro y disruptivo (pregúnteselo a Caesars o 23andMe).

La confianza del cliente y la rotación tampoco son teóricos. La lealtad se gana con esfuerzo y se pierde fácilmente, especialmente en contratos empresariales donde los ciclos de renovación crean una vía de salida natural.

Después de una brecha, la pregunta no es “¿cómo lo hizo el atacante?” La pregunta se convierte en: “¿Quién sabía qué, y cuándo?” De repente, su programa de seguridad no se evalúa por sus méritos técnicos. Se evalúa por su capacidad de defensa narrativa por parte de críticos a posteriori.

Lo que nos lleva a la incómoda verdad:

El primer ataque es el actor de amenazas.
El segundo ataque son todos los demás.

Cómo hablar sobre brechas de seguridad

Los CISO experimentados no se obsesionan con la probabilidad de una brecha. Hablan de la cadencia de las brechas.

Porque la cuestión no es si alguna vez tendrá un incidente. La cuestión es:

• ¿Con qué frecuencia sufrirá una vulneración?
• ¿Con qué rapidez lo detectará?
• ¿Con qué eficacia podrá contenerlo?
• ¿Con qué rapidez podrá restaurar las operaciones?

Esto es pensamiento de resiliencia, no de prevención. Y si alguien dice: “Nunca hemos sufrido una brecha.” La respuesta correcta no es discutir. Es replantearlo sutilmente. Cuanto más madura sea su detección, más incidentes y brechas descubrirá. Esto es profundamente contraintuitivo para los ejecutivos. En otras palabras, una mayor visibilidad puede hacerle parecer “peor” antes de que le haga más seguro.

Los atacantes también explotan fallos básicos de higiene con mucha más frecuencia que los zero-days atractivos. El mito de que las brechas requieren adversarios de élite es reconfortante, pero suele ser erróneo. Los atacantes modernos se mueven rápidamente. El tiempo medio de explotación se mide ahora en minutos y horas, no en días y semanas, especialmente a medida que la IA acelera el desarrollo de exploits y la escala del phishing. Su resiliencia se define por su adaptabilidad y no por su capacidad para restaurar copias de seguridad y volver a un estado anterior. Porque el estado anterior era la configuración vulnerable que le llevó a la brecha en primer lugar.

Las únicas métricas de seguridad que realmente importan a los consejos de administración

Los consejos de administración no quieren un panel de control. Quieren un volante. Entonces, ¿qué métricas de seguridad importan?

Tendencias de exposición al riesgo

No “número de vulnerabilidades”, sino cómo está cambiando su exposición y por qué. Informe siempre en porcentajes y deltas respecto a las métricas del trimestre anterior y no en números absolutos de vulnerabilidades.

Tiempo de detección y tiempo de remediación

Estas son métricas operativas con un significado empresarial directo. Incluya métricas de remediación automática del escaneo de código para secretos compartidos, configuraciones vulnerables con su CSPM, desviación de la configuración y riesgo de la cadena de suministro como los recientes ataques NPM Shai-Hulud.

Reducción del radio de impacto

Este es el concepto de seguridad más relevante para los consejos de administración: la contención. No “podemos detener todos los incendios”, sino “podemos evitar que un incendio en la cocina queme todo el edificio”. 

Aquí es donde el pensamiento “qué pasaría si” se vuelve poderoso. El blog SRE de Google popularizó la “Rueda de la Desgracia” con ejercicios de simulación semanales: simulaciones de incidentes estructuradas y recurrentes. La NASA utiliza un concepto similar: el “pre-mortem”. Se asume el fallo y luego se trabaja hacia atrás para entender cómo ocurrirá. La ingeniería de caos de seguridad es la evolución de esto: experimentos reflexivos sobre estados de fallo, arraigados en la realidad operativa, no en el teatro.

Incógnitas conocidas vs puntos ciegos

Los consejos de administración pueden entender la incertidumbre. No pueden entender “tenemos 13.492 vulnerabilidades críticas”. Pero sí pueden entender:

• “No sabemos si el movimiento lateral es posible entre estos entornos.”
• “No tenemos una validación objetiva de nuestra superficie de ataque externa.”
• “No sabemos si nuestro pipeline de detección puede detectar el credential stuffing.”

Por eso las pruebas de penetración de terceros son increíblemente valiosas cuando se utilizan correctamente. No como un mero trámite, sino como un mecanismo objetivo de descubrimiento y validación de riesgos.

Métricas de seguridad que perjudican su caso

Ahora hablemos de las métricas que hacen que las juntas directivas y la alta dirección pierdan interés.

Número de herramientas

Más herramientas no significa más seguridad. Cada herramienta es, en efecto, un usuario privilegiado. Cada una se convierte en parte de la superficie de ataque. Cada una añade complejidad operativa. Una madurez profunda con pocas herramientas supera a las implementaciones superficiales de docenas de herramientas.

Volumen de vulnerabilidades

No todas las vulnerabilidades críticas y altas son iguales. El auge del pensamiento al estilo EPSS lo hace obvio: solo un pequeño porcentaje de vulnerabilidades llega a ser explotado en brechas reales. Las métricas basadas en volumen confunden la priorización.

Totales de gravedad de CVE

La gravedad no es lo mismo que la explotabilidad. La accesibilidad y el contexto importan más. Las juntas directivas no quieren financiar una guerra de números porque simplemente no se puede ganar.

Porcentajes de cumplimiento

Todas las empresas que sufrieron una brecha tenían auditorías e informes de cumplimiento. El cumplimiento es un listón bajo. La seguridad real es el objetivo. Cuando los CISO presentan estas métricas a la junta, a menudo lo hacen porque son las métricas más fáciles de producir. Pero lo fácil no es lo mismo que lo persuasivo.

Usar POCs para convertir el riesgo hipotético en evidencia

Una de las herramientas más efectivas que tiene un líder de seguridad es la prueba de concepto (POC) pagada. No como una competición de características. Sino como un experimento de descubrimiento estructurado. Una buena POC es segura para la junta porque produce evidencia sin alarmismo. Puede:

• identificar problemas críticos desconocidos
• validar si una narrativa de riesgo es real
• reducir la incertidumbre en torno a los controles actuales
• proporcionar una base defendible para la inversión

La clave es tratarlo como un experimento de negocio:

• Definir la hipótesis.
• Definir los criterios de éxito.
• Definir el plazo.
• Definir cómo es un “no”.

Entonces puede volver a la junta y decir: “Realizamos una evaluación acotada. Esto es lo que aprendimos. Aquí están las opciones de decisión.” A las juntas les encantan las decisiones acotadas.

Asignaciones presupuestarias después de una brecha

Existe un patrón trágico en el liderazgo de seguridad: Brecha → “ya te lo dije” → presupuesto desbloqueado.

Pero este es un regalo envenenado. Porque al CISO post-incidente a menudo se le otorgan los recursos que el CISO pre-incidente suplicó y le fueron denegados. Y al CISO pre-incidente a menudo se le despide. Esto no solo es injusto, sino que es perjudicial para la organización. Debido al segundo ataque, los críticos de sillón, investigadores, aseguradoras y reguladores a menudo destruyen la credibilidad del CISO, incluso si gestionó bien el incidente.

Muchos CISO no sobreviven al segundo ataque. Y la planificación de la sucesión, o la falta de ella, introduce una ventana de vulnerabilidad completamente nueva. Los actores de amenazas lo saben. Se aprovechan. Explotan el caos del cambio de liderazgo. Puedes acabar luchando una guerra en dos o tres frentes:

• atacantes oportunistas
• crimen organizado
• inestabilidad organizativa interna

La forma de evitar esta trampa es construir un soporte de decisiones a nivel de junta directiva antes de la brecha.

Cómo manejar las objeciones comunes

Los ejecutivos y las juntas directivas tienen un pequeño conjunto de objeciones predecibles. El error es refutarlas como un debate. Lo correcto es replantearlas como una decisión. También debe asegurarse de leer el “Apéndice A: Preguntas que la Junta Directiva debe hacer a la Gerencia sobre Ciberseguridad” del Manual de la Junta Directiva de la NACD de 2017 y estar preparado para responder a cada una de esas preguntas.

“Es demasiado caro.”

“Caro” comparado con qué? ¿Comparado con la pérdida esperada? ¿Comparado con el coste del tiempo de inactividad? ¿Comparado con el coste de oportunidad de los sprints de ingeniería y entregables desviados?

“Ya tenemos algo.”

Esta es una objeción de punto ciego y suele incluir referencias a servicios incluidos en su suscripción de Microsoft 365. No discuta sobre el reemplazo, sino que hable sobre cómo Microsoft Defender es necesario, pero no suficiente. Hable sobre los resultados:

• ¿Qué podemos detectar?
• ¿Qué podemos prevenir?
• ¿Qué podemos contener?
• ¿Qué desconocemos?

“Ya cumplimos con la normativa.”

El cumplimiento no es reducción de riesgos. Es la prueba de que ha superado una lista de verificación. No es la prueba de que pueda sobrevivir a un incidente.

“Lo construiremos internamente.”

Las decisiones de construcción interna deben incluir:

• carga de mantenimiento
• costes de formación para nuevas contrataciones
• coste de oportunidad
• riesgo de propiedad a largo plazo

La decisión de construir o comprar debe asegurarse de abordar si esto es una competencia central. Las herramientas de seguridad no son “un proyecto único”. Es un compromiso operativo y un camino. Durante muchos años, la gestión de los sistemas de correo electrónico corporativos fue tarea de un equipo de TI de varias personas. Ahora, en gran medida, se subcontrata a Microsoft y Google con resultados de seguridad mucho mejores y un coste menor. Phil Venables me mencionó una vez que su mayor arrepentimiento al dirigir la seguridad en Goldman Sachs fue que internalizaron demasiadas de sus capacidades solo porque podían, no porque fuera lo correcto.

“Usaremos código abierto.”

El código abierto es sin duda excelente y digno de confianza. Pero los consejos de administración deben entender la diferencia entre:

• capacidad
• fiabilidad
• responsabilidad

El código abierto te proporciona código. No te ofrece una garantía de servicio ni un único responsable al que exigir cuentas.

“Los pentests son suficientes.”

Los pentests son instantáneas puntuales, a menudo realizadas solo una semana al año. Los consejos de administración deberían exigir una gestión de riesgos continua.

“Eso no nos afectará / Nunca seremos hackeados.”

La confianza es una suposición. Las suposiciones deben validarse. Aquí es donde la orientación de la gobernanza del consejo de administración cobra importancia. El consejo no necesita volverse técnico, pero sí necesita ser capaz de tomar decisiones en torno al riesgo de TI y las interrupciones del negocio para comprender la naturaleza de los riesgos de ciberseguridad como riesgo sistémico.

Cómo es un caso de inversión en seguridad preparado para el consejo de administración

Entonces, ¿cómo es realmente una inversión en seguridad creíble?

Un encuadre claro del riesgo y un marco relevante

La elección del marco es importante. Algunos marcos están mostrando su antigüedad y son poco adecuados para empresas cloud-native. Una de las peores cosas que se pueden hacer es permitir que la organización se conforme con una vara de medir anticuada. Los CIS Top Controls se encuentran entre los mejores marcos de ciberseguridad porque se actualizan regularmente y se mantienen al día con las innovaciones y técnicas basadas en la nube.

Reducción medible de la incertidumbre

La seguridad no se trata solo de controles. Se trata de reducir la ambigüedad. Y aquí está la cita de liderazgo que quiero que todo ejecutivo memorice:

“Como gerentes ejecutamos un plan,
como líderes gestionamos la escasez, y
como ejecutivos gestionamos la ambigüedad.”

Los consejos de administración gestionan la ambigüedad. Su trabajo es ayudarles a reducirla presentando contexto y datos.

Evaluación con plazos definidos y ROI cualitativo

No lo compliques con demasiados cálculos. Mantenlo conceptual. “¿Cómo se ve el éxito en 90 días? ¿En 6 meses?” ¿Cuándo se amortiza la solución en términos de evitación de costes o la retirada de una herramienta heredada que ya no ofrece controles de seguridad y evitación de riesgos efectivos?

Criterios de éxito definidos

Requisitos funcionales y no funcionales:

• disponibilidad
• confidencialidad
• integridad
• sobrecarga operativa
• impacto en la resiliencia

Así es como se presenta la solicitud de una manera que la junta pueda aprobar sin sentir que se están comprometiendo a ciegas.

El principal error que cometen los CISO al hablar con las juntas directivas

El mayor error que cometen los CISO es pensar que la junta financiará la seguridad porque es importante. Las juntas no financian la importancia; financian decisiones defendibles. Por lo tanto, el objetivo no es impresionarlos con la complejidad del panorama de amenazas.

El objetivo es ofrecerles un compromiso racional y delimitado:

• Aquí están las narrativas de riesgo contrapuestas.
• Esto es lo que sabemos.
• Esto es lo que no sabemos.
• Aquí están las opciones.
• Aquí está el coste.
• Esto es lo que cambia si actuamos.
• Esto es lo que permanece incierto si no lo hacemos.

Cuando haces eso, la junta puede hacer su trabajo. E irónicamente, es entonces cuando empiezan a preocuparse por la seguridad.

Modelo de Capas de Ritmo y por qué la gobernanza avanza lentamente

Los buenos programas de seguridad operan a través de múltiples capas de cambio. El modelo de capas de ritmo de Stuart Brand es útil aquí:

• Moda
• Comercio
• Infraestructura
• Gobernanza
• Cultura
• Naturaleza

La tecnología avanza rápidamente en la vanguardia, como la moda. La gobernanza avanza lentamente, y esa lentitud no es un problema a resolver. Es la capa de estabilidad que evita que las empresas se desestabilicen. Si quieres que la junta actúe, tienes que hablar en términos de gobernanza: decisiones delimitadas, ambigüedad reducida, compromisos defendibles. Porque hablar con la junta es la parte fácil.

Lo difícil es aportar valor a su forma de pensar.