Saltar al contenido principal Noticias de Microsoft Microsoft On The Issues Source Asia Canada Europe, Middle East and Africa Blog Oficial de Microsoft IA Servicios Financieros Agricultura Seguridad Sostenibilidad Transformación Digital Vida & Trabajo Innovación Diversidad & Inclusividad Microsoft 365 Azure Copilot Windows Surface XBOX Ofertas Pequeñas empresas Soporte Aplicaciones Windows OneDrive Outlook Paso de Skype a Teams OneNote Microsoft Teams Comprar XBOX Accesorios XBOX Game Pass Ultimate XBOX y juegos Juegos para PC Microsoft AI Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 para empresas Microsoft Power Platform Windows 365 Soberanía digital Desarrollador de Microsoft Microsoft Learn Soporte técnico para aplicaciones del marketplace de IA Microsoft Tech Community Microsoft Marketplace Empresas de desarrollo de software Visual Studio Microsoft Rewards Seguridad y descargas gratuitas Educación Tarjetas regalo Licenciamiento Ver mapa del sitio

Trabajar con un comité de ciberseguridad de la junta directiva

Personas en una sala de juntas de una empresa

Por: Steve Vandenberg, cinta negra global principal, seguridad, cumplimiento y privacidad.

Formo parte de la junta directiva de una empresa que cotiza en bolsa. Impulsé la creación del comité de ciberseguridad de la junta y lo codirijo. He reflexionado sobre mi trabajo como Global Black Belt (cinta negra global), asesor de directores de seguridad de la información (CISO, por sus siglas en inglés) y equipos de seguridad y cumplimiento de TI, y he estudiado las mejores prácticas para establecer un comité de ciberseguridad que respalde mejor la postura de seguridad de TI de la empresa. Parte de esto es fomentar una relación productiva con nuestro CISO, donde se reconoce y comunica el gran trabajo de su equipo.

Herramientas como el Administrador de cumplimiento de Microsoft Purview (Microsoft Purview Compliance Manager), la puntuación de seguridad de Microsoft y el panel de cumplimiento normativo de Microsoft Defender for Cloud son excelentes formas para que una organización realice pruebas comparativas y comunique su posición de seguridad y cumplimiento.

Esta publicación de blog ofrecerá estos aprendizajes a los CISO y a los equipos de seguridad de TI para establecer su relación con el comité de ciberseguridad de la junta directiva para el éxito.

El comité de ciberseguridad de la junta directiva

La Comisión de Bolsa y Valores de los Estados Unidos (SEC, por sus siglas en inglés) adoptó normas en julio de 20231 para ampliar el alcance de sus requisitos de información sobre ciberseguridad para las empresas que cotizan en bolsa2, para hacer que la gobernanza de la seguridad informática por parte del consejo de administración y la experiencia en ciberseguridad de los miembros del consejo de administración sean comunicables al mercado.

Los puntos de referencia de gobierno corporativo, incluido el Institutional Shareholder Services (ISS) ESG Governance QualityScore, utilizado de manera amplia por los analistas y para algunas compensaciones ejecutivas, incluyen mediciones de seguridad de TI en su puntuación.3 Se reconoce que la ciberseguridad requiere gobernanza por parte del consejo de administración. Las juntas directivas han comenzado a cambiar para que esto sea posible.

Se consideró que la función de seguridad de las tecnologías de la información era competencia de los especialistas técnicos, a los que había que invertir más para un panorama de seguridad más hostil y en respuesta a incidentes de seguridad de gran repercusión. La ciberseguridad no se consideraba un área de enfoque de la junta como las finanzas, la auditoría o la compensación de ejecutivos. Esto ha cambiado. Los consejos de administración sientan a directores con experiencia en seguridad de TI y solicitan más comunicación del equipo de seguridad de TI, generalmente a través del CISO.

Mandato del comité de ciberseguridad

El mandato del comité de ciberseguridad incluye aprender sobre el equipo de seguridad de TI de la organización. Para optimizar la relación, el equipo de seguridad también debe comprender cómo funcionan la junta directiva y el comité de ciberseguridad.

El comité de ciberseguridad tendrá un mandato, examinado y otorgado por los miembros de la junta y tal vez por el director ejecutivo (CEO). Este mandato se establecerá en un documento corporativo que describa las responsabilidades del comité, el contenido y la frecuencia de sus informes y el tipo de información que deben revisar. El CISO debe comprender el mandato y, con él, el alcance del comité para saber cómo asociarse mejor y de la manera más eficiente con ellos. Un CISO proactivo puede contribuir a la formulación del mandato, evitar conflictos e ineficiencias, y preparar la relación para el éxito.

Más allá del documento de mandato, es probable que la junta tenga Reglas de Procedimiento de cara al público. Este documento establece la misión, los deberes y las operaciones de la junta. Es probable que también tenga una sección que describa los diversos comités de la junta, sus operaciones y responsabilidades.

El comité se centrará en cumplir con estas responsabilidades de manera auditable.

El tiempo en la agenda de las reuniones de la junta es escaso. Una agenda típica de una reunión de dos horas podría incluir:

  • Aprobación del acta de la última reunión del directorio.
  • Revisión de los resultados del primer semestre.
  • Revisión del informe ambiental, social y de gobernanza (ESG, por sus siglas en inglés) y recomendaciones del comité ESG.
  • Aprobación de los gastos de los miembros de la junta.
  • Perspectivas financieras y de negocios.
  • Actualización del plan de negocios.
  • Revisión de las fechas de las próximas reuniones.

Algunos de ellos son obligatorios por ley, lo que deja poco tiempo para temas discrecionales. Puede haber cuatro o cinco reuniones de este tipo por año. El comité de ciberseguridad tendrá un espacio en el orden del día, al igual que otros asuntos.

Una junta puede recibir una sesión informativa del CISO sobre el estado actual y el plan una vez al año. Se puede pedir al CISO que proporcione información ad hoc sobre riesgos, incidentes u otros temas emergentes.

Un comité de ciberseguridad es un subgrupo de la junta. Está dirigido por uno o dos directores que tienen un nivel alto de experiencia en ciberseguridad. Deberían:

  • Comprender la función, las políticas, los estándares, el estado actual y el plan de seguridad de TI.
  • Ofrecer su opinión sobre cómo el estado actual y el plan se alinean con la postura de gestión de riesgos y los objetivos comerciales de la empresa.
  • Identificar las áreas en el estado actual y planificar las que necesitan enfoque de la función de seguridad de TI.
  • Comunicar los bloqueadores y abogar por la función de seguridad con la junta directiva y los ejecutivos.

El comité es responsable de informar a la junta sobre estos temas.

Colaboración con el comité de ciberseguridad

La junta directiva y el CISO deben alinearse en la forma en que trabajarán juntos. Deben ponerse de acuerdo sobre formas eficientes de obtener la información y el contexto que el comité necesita para cumplir su mandato.

Esta es una oportunidad para que el CISO aproveche sus informes y documentos existentes en la medida de lo posible. Un CISO que sea proactivo y sugiera un marco será un buen socio para el comité. Esto reducirá el nivel de esfuerzo del equipo de seguridad en el futuro.

El papel de la junta y el comité es actuar en nombre de los accionistas para gestionar el riesgo, no para gestionar el equipo de seguridad de TI, el plan o ser responsable de la ciberseguridad. Ese es el trabajo del CISO.

Los miembros de la junta a menudo sirven en varias juntas y tienen roles de alto perfil en otras organizaciones. Necesitan información que esté en el objetivo, que puedan consumir con rapidez e informar con confianza a las partes interesadas. La comunicación efectiva incluye:

Contexto

¿Qué significa para el negocio?

El riesgo y la planificación de la ciberseguridad deben comunicarse en un formato similar al riesgo financiero y empresarial que el consejo está acostumbrado a gestionar.

El progreso de la planificación debe mostrarse en contexto. Se debe compartir una hoja de ruta de seguridad para un mínimo de tres años con el progreso y los cambios rastreados a lo largo del tiempo.

La atención debe centrarse en una estrategia y arquitectura de seguridad de TI holística que abarque la infraestructura, los servicios, los servicios internos, los proveedores, las instalaciones, la nube y la cultura.

Datos objetivos

Las recomendaciones del equipo de seguridad de TI deben presentarse junto con información objetiva que las respalde.

Los indicadores clave de rendimiento (KPI, por sus siglas en inglés) deben acordarse y visualizarse a lo largo del tiempo para exponer las tendencias. El comité debe ver que se monitorean las cosas correctas, pero no esperar profundizar en cada KPI.

Entre los resultados objetivos que se pueden mostrar tendencias y asignar a inversiones en seguridad se incluye la puntuación de seguridad en Microsoft Defender. Secure Score supervisa la plataforma como servicio (PaaS, por sus siglas en inglés) y la infraestructura como servicio (IaaS, por sus siglas en inglés) en entornos en la nube, híbridos y locales en Microsoft Azure, Amazon Web Services y Google Cloud Platform.    

Microsoft Secure Score es un servicio similar centrado en la mejora de la posición de seguridad del software como servicio (SaaS, por sus siglas en inglés) de Microsoft 365 de una empresa, incluida la identidad, los dispositivos y las aplicaciones.

La puntuación, que se expresa como un porcentaje de 0 a 100, se muestra con una lista de recomendaciones que se pueden realizar para cumplir con los controles de seguridad. Estos controles de seguridad deben tenerse en cuenta para la hoja de ruta de seguridad. A medida que se implementan los controles, aumenta la puntuación de seguridad.

Una empresa no debe centrarse en llevar la puntuación de seguridad al 100 por ciento, sino en que las recomendaciones se consideren a la luz del apetito de riesgo y la hoja de ruta de seguridad de la empresa. Si la puntuación no aumenta como se esperaba, se debe entender el motivo.

Del mismo modo, el Administrador de cumplimiento de Microsoft Purview proporciona una puntuación de cumplimiento para Microsoft 365. Para los clientes de Azure, Microsoft proporciona el panel de cumplimiento normativo en Microsoft Defender for Cloud, que también proporciona visibilidad de la posición de cumplimiento de las nubes que no son de Microsoft. Estas soluciones son vehículos para ayudar a los clientes a evaluar y comunicar de manera objetiva la postura de cumplimiento de la empresa con sus estándares regulatorios más importantes.

La hoja de ruta de seguridad actualizada, con el progreso indicado, debe presentarse al comité, y los KPI deben seguir de manera amplia este progreso, lo que permite una mayor confianza en la postura y las tendencias de seguridad de la organización.

Alinearse con el mandato del comité

Trabajar con el comité de ciberseguridad y la junta implicará comunicarse con un grupo diverso cuya primera experiencia puede no ser la tecnología de la información. Necesitamos enseñar.

También tenemos que aprender. El comité funciona dentro de su mandato. El objetivo principal del comité es prestar servicios a este mandato. Vendrá antes que otros temas que tal vez queramos discutir. Asignar estos temas al mandato del comité.

La junta funciona dentro de sus reglas de procedimiento. Seremos mucho más efectivos si estamos familiarizados con estos. Si mapeamos nuestras preguntas y respuestas al mandato del comité, nuestra comunicación será bien recibida y fortaleceremos la asociación. Si entendemos las reglas de procedimiento, podemos evitar el compromiso ad hoc y comunicar nuestro mensaje de manera efectiva.

El mandato puede indicar que el comité debe presentar un informe a la junta antes de la Asamblea General Anual. Si nos hemos puesto de acuerdo sobre la información necesaria para cumplir con el mandato, podemos ser proactivos a la hora de proporcionarla. Podemos anticiparnos a las preguntas y poner los desafíos en contexto con lo que significan para el negocio y lo que hacemos para abordarlos.

Confidencialidad

Algunos de los materiales proporcionados al comité de ciberseguridad requerirán confidencialidad. Deben tener una marca de agua o estar encriptados según la política de la empresa. Los miembros de la junta directiva no son empleados y tal vez no tengan una dirección de correo electrónico de la empresa ni acceso a la red de la empresa. Las herramientas y los procedimientos deberán tener esto en cuenta.

Los informes del comité de ciberseguridad a la junta también son confidenciales. Más allá de los malos actores, la información puede ser sacada de contexto por analistas o aquellos que buscan dañar la reputación de la empresa. Los controles de seguridad deben acordarse con el CISO para garantizar que los documentos proporcionados y producidos por el comité de ciberseguridad se limiten en su distribución al comité, a la dirección de la empresa y a la oficina del CISO.

Algunos documentos de la junta se comparten con los accionistas y se ponen a disposición del público, como las actas de las reuniones de la junta. Cuando se necesite la aportación del CISO o del comité de ciberseguridad para estos documentos, debe ser lo suficientemente general como para no exponer a la empresa a riesgos.

Comiencen con la colaboración de comités

La formación de un comité de ciberseguridad como parte de la junta directiva de una empresa significará un mayor escrutinio de la función de seguridad informática. Se dedicará más tiempo a la comunicación y a la presentación de informes.

El CISO y su equipo obtendrán visibilidad con la junta directiva y podrán utilizarla para abogar por los recursos y los cambios culturales que necesitan para proteger a la empresa. La interacción productiva y eficiente con el comité puede construir una asociación con la junta, lo que protege y agrega valor para la empresa.

Conozcan más

Obtengan más información sobre el Administrador de cumplimiento de Microsoft Purview.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en X en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

1 La SEC adopta normas sobre la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la divulgación de incidentes por parte de las empresas públicas, SEC. 26 de julio de 2023.

2Regla de gestión de riesgos cibernéticos de la SEC: una oportunidad de seguridad y cumplimiento, Steve Vandenberg. 1 de marzo de 2023.

3Seguridad informática: una oportunidad para elevar las puntuaciones de gobierno corporativo, Steve Vandenberg. 8 de agosto de 2022.

Etiquetas:

Surface Pro Surface Laptop Copilot para organizaciones Copilot para uso personal Microsoft 365 Explora los productos de Microsoft Aplicaciones de Windows 11 Perfil de la cuenta Centro de descarga Soporte de Microsoft Store Devoluciones Seguimiento de pedidos Reciclar Garantías comerciales Microsoft Educación Dispositivos para educación Microsoft Teams para Educación Microsoft 365 Educación Office Educación Formación y desarrollo de educadores Ofertas para estudiantes y padres Azure para estudiantes
Microsoft AI Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Pequeñas empresas Desarrollador de Microsoft Microsoft Learn Soporte técnico para aplicaciones del marketplace de IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Oportunidades de empleo Acerca de Microsoft Noticias de la compañía Privacidad en Microsoft Inversores
Español (España)
Icono de exclusión de opciones de privacidad Tus opciones de privacidad
Privacidad de la salud del consumidor Ponte en contacto con Microsoft Privacidad Gestionar cookies Condiciones de uso Marcas registradas Sobre nuestra publicidad Docs de cumplimiento de la UE Informes regulatorios