Emily Wearmouth: Hola y bienvenidos al Podcast de Visionarios de Seguridad, un lugar donde invitamos a los líderes de seguridad cibernética a venir y hablar con nosotros sobre cosas interesantes. Y hoy estamos haciendo precisamente eso, discutiendo el papel de un director no ejecutivo o de la NED. Soy su anfitriona Emily Wearmouth, así que permítanme presentarles a mis invitados. Richard Starnes es el CISO de Six Degrees y también es director no ejecutivo del Centro de Resiliencia Cibernética de Londres, así como director escolar en Lenham School en Kent como parte del Esquema de Gobernadores Cibernéticos. Ha trabajado tanto en Estados Unidos como en el Reino Unido y se une a nuestro club de invitados de élite que también ha ocupado puestos de aplicación de la ley, en los que siempre me gusta participar en el podcast. Ha recibido el premio ISC2 CEO y ha sido nombrado uno de los 50 mejores profesionales de la seguridad de la información, así que bienvenido al podcast Richard.
Richard Starnes: Muchas gracias.
Emily Wearmouth: Mi segunda invitada es Homaira Akbari, es la presidenta y consejera delegada de AKnowledge Partners, que es una empresa de asesoramiento global, y ha desempeñado funciones de alta dirección en varias grandes Organización como Microsoft y Thales. Pero la invitamos a unirse a nosotros hoy porque tiene una amplia experiencia en liderazgo en juntas directivas, ya que ha formado parte de seis juntas directivas de empresas públicas y 15 privadas. Actualmente es consejera no ejecutiva del consejo de administración de Banco Santander y también desempeña el mismo cargo en Landstar System. Por si fuera poco, también es autora de más de 50 artículos científicos en revistas internacionales. Tiene dos patentes y un doctorado en física de partículas, lo cual es francamente genial, así que estoy muy contento de que hayas podido unirte a nosotros hoy. Gracias por estar aquí, Homaira.
Homaira Akbari: Bueno, gracias, Emily.
Emily Wearmouth: Así que voy a sumergirme de lleno con la pregunta obvia y voy a empezar haciéndote esta, Richard. ¿Qué es un consejero no ejecutivo?
Richard Starnes: Voy a ir a una frase inglesa que es un poco la pregunta de cuánto mide un trozo de cuerda, que varía bastante según el sector en el que se tenga un puesto NED y el tamaño y un sinfín de cosas diferentes. Así que depende.
Emily Wearmouth: [risas] Homaira, ¿puedes ayudarnos? ¿Puedes afinar un poco? ¿Cuáles son algunas de las características generales de un puesto de director no ejecutivo?
Homaira Akbari: Sí, todas las empresas, ya sean privadas o públicas, deben tener una gobernanza. ¿Qué significa gobernanza? Significa un grupo de personas llamadas junta directiva, que asumen la responsabilidad fiduciaria, específicamente la responsabilidad fiduciaria y el deber de cuidado de gobernar todos los principios para esa empresa desde los estatutos y desde el ritmo del negocio, desde los objetivos de la estrategia, y realmente tienen controles y contrapesos también contra las regulaciones y el cumplimiento.
Homaira Akbari: Así que eso es la junta directiva. Y dentro de la junta directiva, hay un grupo de personas que, por ejemplo, el director ejecutivo de la empresa que normalmente se convertiría en director de la empresa, pero obviamente son ejecutivos. En el Reino Unido, sucede que con frecuencia el director financiero, el director financiero también es un director, pero en los EE. UU. o en muchos otros países, de hecho, esa tendencia o esa práctica se ha descontinuado. Por lo general, solo el CEO es el ejecutivo y es posible que haya ex ejecutivos que formen parte de la junta directiva. Pero cuando tienes a alguien que es independiente de la empresa, que no ha trabajado para la empresa en el pasado, ni ha asesorado a la empresa en el pasado, ni ha estado muy estrechamente asociado con ella, al menos en el pasado reciente, a veces son cinco años, por ejemplo, un auditor, socio de las principales empresas de auditoría, entonces los llamarías directores no ejecutivos.
Emily Wearmouth: Richard, ¿la distancia, la mayor independencia del equipo ejecutivo implica que no se les paga? ¿Sigue siendo una relación comercial? ¿Sigue siendo algún tipo de empleo?
Richard Starnes: Creo que el empleo puede ser un tipo de distinción interesante, pero algunos de ellos son remunerados y otros no. Depende de la propia junta. En el caso de las organizaciones sin ánimo de lucro más pequeñas o de los consejos de administración profesionales más pequeños, normalmente no se les va a pagar, sobre todo al nivel de Homaira. Y tengo que ser honesta, después de escuchar tu introducción, Homaira, estoy sintiendo un poco el síndrome del impostor aquí.
Emily Wearmouth: Es impresionante, ¿verdad?
Richard Starnes: Muy impresionante. ¿Qué demonios estoy haciendo aquí? Pero ese tipo de puestos son obviamente remunerados.
Homaira Akbari: Si se me permite añadir, en primer lugar, Richard, muchas gracias. Y estoy muy feliz de estar con ustedes en esta llamada. Y creo que los diferentes trasfondos lo hacen tan interesante. Pero mencionaste, Emily, comercial. Realmente no existe una relación comercial entre una NED o no debería haberla porque, de hecho, tienen responsabilidad fiduciaria para todos los accionistas, incluso para organizaciones sin fines de lucro. También estoy, como dijo Richard, en organizaciones sin fines de lucro, no solo no te pagan, sino que realmente pagas. Tienes que pagar porque es una organización sin fines de lucro y necesitan fondos. Pero independientemente de si se trata de una organización sin fines de lucro o con fines de lucro, usted tiene efectivamente la responsabilidad fiduciaria hacia otros accionistas de la empresa u otros participantes, si lo desea, o miembros.
Homaira Akbari: Y por lo tanto, cuando mencionas la palabra comercial, yo diría que hay una relación comercial. Pero sí, los consejos de administración de las empresas con fines de lucro suelen ser remunerados. Y la razón de esto es que hay bastante trabajo involucrado en hacer eso. Y de nuevo, usted tiene el deber de cuidado y tiene la responsabilidad fiduciaria. Y si no cumple con esa responsabilidad fiduciaria, está sujeto a acciones legales por parte de los accionistas. Por lo tanto, se le paga generalmente. La mayoría de las juntas te pagan adecuadamente, pero no es rentable si quieres.
Emily Wearmouth: De hecho, fui a un evento recientemente y escuché a un par de NEDs charlando y ambos estuvieron de acuerdo en que nadie se mete en esto por el dinero. Te metes en esto por muchas razones. Y hay compensación, pero nadie está en ella por el dinero. Pero me interesó bastante, estaban hablando, y ambos están teniendo múltiples roles al mismo tiempo. Entonces, ¿cuál es el tipo de compromiso de tiempo promedio? ¿Hay un promedio o varía?
Homaira Akbari: Sí. Varía según el tablero. Pero en promedio, si hablamos de una junta pública y digamos una junta que es de mediana capitalización, una capitalización de mercado de 10 mil millones, y tal vez use European, la empresa europea, que es de mediana capitalización, generalmente se reúnen cinco veces al año, de las cuales cuatro veces al año son en realidad reuniones de la junta. Y una vez al año es una estrategia, si se quiere. Así que no hacen un tablero, sino que hacen una estrategia. Visitan filiales, visitan operaciones. Y para esas cinco veces, si quieres, probablemente, dependiendo de dónde vengas, viajarás dos o tres días, incluidas las reuniones. Por lo tanto, se podría decir que está comprometido con una junta directiva alrededor de 15 a 17 días en persona, y luego otros probablemente 10 a 15 días repartidos a lo largo del año virtualmente para llamadas virtuales y también para la preparación de las reuniones. Entonces, para una sola tabla, puede considerar entre 25 y 30 días al año, lo cual es mucho, pero no mucho.
Emily Wearmouth: Derecha. Es mucho. Sí. Sí. Ciertamente no es un trabajo de tiempo completo, pero creo que es más de lo que quizás estaba pensando por la cantidad de juntas en las que se sientan algunas personas, parece bastante intensivo en tiempo. Richard, ¿cuál es tu experiencia? Y estoy bastante interesada en este programa de cibergobernadores, así que hablaremos de ello con más detalle dentro de un momento, pero cuando se plantea participar en estas funciones en una Organización más pequeña, quizá una organización sin ánimo de lucro, quizá una escuela, ¿cuál es el tipo de compromiso de tiempo ahí?
Richard Starnes: El compromiso de tiempo, diría yo, tiende a ser de 15 a 20 días por junta. No es tan pesado como un compromiso, pero una de las cosas de las que hablaba Homaira era lo que yo diría que sería una situación normal. Hay una advertencia con diferentes tipos de directores de la que me gustaría hablar. Hay directores que a veces pierden la dirección de lo que se supone que deben hacer y comienzan a alejarse de ser directores y comienzan a desviarse hacia ser un... Yo diría que un ejecutivo o que es un poco más activo en los aspectos operativos de la empresa o de la junta directiva de lo que debería ser. Ese es un tipo de advertencia, yo diría que necesitas recordar lo que estás haciendo y por qué lo estás haciendo.
Emily Wearmouth: En ese sentido, este es un podcast escuchado por personas que son líderes en ciberseguridad. Y la razón por la que estamos teniendo esta conversación es que he aprendido que muchas personas, a medida que avanzan en su carrera, comienzan a ver roles de directores no ejecutivos agregados a los CV y perfiles de LinkedIn a medida que las personas ascienden en su escala profesional. Y quería saber cuál es tu perspectiva de por qué es así. ¿Cuál es el atractivo de asumir estos roles a medida que te conviertes en una persona senior dentro de la ciberseguridad? Richard, ¿qué te atrajo?
Richard Starnes: Para mí, fue... Estoy empezando a llegar al final de mi carrera y cada vez soy más consciente de retribuir. He retribuido a lo largo de mi carrera, pero creo que me corresponde a mí en este momento de mi carrera y de mi vida comenzar a retribuir más a la profesión y más a la comunidad. Y es por eso que me he sentado en estas dos juntas para hacer eso.
Emily Wearmouth: Así que eso suena deliciosamente altruista, pero seguramente también hay una especie de beneficio profesional en tener estos nombres en tu CV. Homaira, ¿cuál es tu opinión? ¿Qué te llevó a este tipo de papeles?
Homaira Akbari: Bueno, creo que lo que Richard describió es absolutamente cierto. En general, e históricamente esto ha estado haciendo... Servir en juntas directivas principalmente cuando ingresas a la segunda mitad de tu carrera o a la tercera mitad de tu carrera, si estás en la tercera parte de tu carrera, pero también porque necesitas experiencia y eso es muy importante, experiencia en gobernanza, o experiencia ejecutiva, o ser CEO y dirigir una empresa y propiedad de pérdidas y ganancias, Porque tienes que tener una experiencia completa cuando estás a bordo. Dicho esto, hace unos 15 años, o incluso hace 15 o 20 años, comenzó una tendencia, que comenzó primero en Europa y específicamente en Noruega, donde se dieron cuenta de que muchos consejos de administración, si no todos, estaban muy poblados por hombres y querían diversificar el género.
Homaira Akbari: Y como resultado, pusieron en marcha leyes en las que cada junta tendría que tener entre un 30% y un 40% de mujeres en su junta. Como resultado, muchas juntas directivas comenzaron a diversificarse antes de que la regla entrara en vigor y tenían a las mujeres miembros de la junta, tal vez era la primera vez que eran miembros de la junta y, con frecuencia, en un lado más joven de la edad y no necesariamente hacia la segunda mitad o tercera parte de su carrera. Así que hoy en día, si nos fijamos en los consejos de administración, los consejos están mucho más diversificados, ya no solo por género, sino también por raza, pero también por edad. Así que tienes... Y eso se convirtió en algo que ya se ha hablado de ciberseguridad, pero se hizo aún más pronunciado cuando la digitalización se convirtió en una realidad y todo el mundo se dio cuenta de que todas las empresas se dieron cuenta de que tenían que hacer una transformación digital. ¿Adivina qué? La mayoría de las personas que sabían cómo hacer la transformación digital estaban en el lado más joven del rango de edad. Así que las juntas se volvieron más flexibles para, por ejemplo, tener miembros de la junta que tenían incluso 35 años o incluso menos, en comparación con hace tres décadas, la edad promedio habría sido mucho, mucho más que eso, probablemente a fines de los años 50 o 60. Hoy en día, la edad promedio de cada año está bajando un poco.
Homaira Akbari: Pero soy un gran creyente de que todo se necesita en una tabla. Necesita esa diversificación tanto en términos de edad, como de tecnología, experiencia, Background, género, raza... Y creo que las juntas que han hecho eso, que la mayoría de las juntas públicas lo han hecho, realmente se han beneficiado de ello.
Emily Wearmouth: He visto algunas investigaciones de McKinsey que decían... Eso específicamente se refería a 100 juntas directivas y decía que aquellos con el equipo más diverso tenían un mejor rendimiento final. Así que definitivamente parece que la dirección correcta para una junta se está moviendo.
Richard Starnes: Absolutamente, no podría estar más de acuerdo contigo. Convocamos una junta asesora para el Centro de Resiliencia Cibernética de Londres y yo la presidí y fui muy, muy específico al observar la demografía de Londres y asegurarme de que la demografía de Londres coincidiera con la demografía de la junta. Y creo que nos hemos beneficiado mucho de eso. El 40% de nuestro consejo asesor son mujeres.
Emily Wearmouth: Es muy bueno escuchar eso.
Homaira Akbari: Fantástico. Felicidades.
Emily Wearmouth: ¿Puedo afirmar entonces, que si la transformación digital fue un motor para conseguir una mayor diversidad y tal vez una composición más joven en un consejo, podríamos examinar algunos de los retos a los que se enfrentan actualmente las Organizaciones y uno de ellos, el primero de mi radar es un panorama de amenazas que evoluciona muy rápidamente. ¿Podría eso significar que alguien con experiencia cibernética está aportando hoy un conjunto de habilidades mucho más atractivas a una junta directiva de lo que quizás podría haber hecho hace 10 años y, por lo tanto, podríamos ver un aumento en los profesionales de la ciberseguridad que encuentran estos puestos en la junta?
Homaira Akbari: La respuesta es sí y no. [risas] En un sentido que obviamente si tienes conocimientos de ciberseguridad y que si quieres, podrías ser considerado experto en ciberseguridad. Eso es positivo, pero por sí solo no es suficiente.
Emily Wearmouth: Derecha.
Homaira Akbari: Si bien agregaría enormemente a su candidatura, no es suficiente. Porque a bordo, recuerdas que las tablas varían, su tamaño varía entre siete y 15 y todo el mundo importa en las tablas. Y como hemos comentado antes, por ejemplo, si tu consejo de administración está formado por 12 personas, tal vez tres o cuatro sean ejecutivos o ex ejecutivos. Así que ahora solo tienes siete u ocho miembros entre los que puedes elegir, y todos esos siete y ocho, si eres, por ejemplo, una empresa internacional en la que tienes presencia en Brasil o tienes presencia en China, quieres representación de esas geografías porque es muy importante. Así que no puedes elegir a alguien solo porque es brasileño y bueno, era una persona de negocios en Brasil, por lo tanto, necesito a alguien de Brasil. Lo que tienes que hacer es que todo el mundo tiene que tener varias cosas que va a traer a la mesa.
Emily Wearmouth: Derecha.
Homaira Akbari: No es solo una aptitud, por lo tanto, la ciberseguridad por sí sola no es suficiente. Lo que he visto, y aconsejo a muchos CISO que muchos de ellos están de hecho interesados en formar parte de los consejos de administración, es realmente ampliar su base de conocimientos, su carrera, no sólo ser director de seguridad de la información toda su vida, sino también hacer otras cosas. Y, de hecho, hemos visto CISO que han tenido éxito en hacer eso. Y tenemos un ejemplo muy poderoso en Banco Santander, donde nuestro CISO, que estuvo allí durante siete años, pasó a ser propietario de P&L y jefe de transformación para retail y comercial, que es realmente una posición muy importante en la compañía.
Homaira Akbari: Y esos ejemplos son muy positivos. Son raros y muy pocos, pero están empezando a suceder. Es lo mismo que se aplica por cierto al CIO o a cualquier otro, como si eres director de IA o director de Datos y tienes la ambición de convertirte en miembro del consejo, tienes que darte cuenta de que tienes que diversificarte, diversificar tu carrera, y ser una persona polifacética. Porque eso es lo que necesita la junta. En cada tablero ahora hacemos una matriz de escala, y en la matriz de escala decimos, bueno, ¿cuáles son las cosas que necesitamos para el tablero y cuáles estás trayendo a la mesa? Y si solo marca la marca 2 de 15, eso no es suficiente.
Emily Wearmouth: Richard, ¿hay algo en lo que hayas trabajado conscientemente y ampliado a partir de tu experiencia y tus credenciales para ofrecer más valor a las juntas directivas a las que sirves?
Richard Starnes: En realidad, nunca he formado parte de una junta directiva como CISO. Voy a dar un paso atrás y responder a tu pregunta original. La pregunta entre los CISO ha sido a veces, creo, mal formulada: ¿debería un CISO sentarse en el consejo de administración? Y mi respuesta general es no. Y la razón es que no puedes formar parte de un consejo de administración debido a una función concreta que realizas. Tienes que ser mucho más diverso en lo que haces y tus experiencias son una cosa. La otra cuestión es, ¿deberían los CISO informar al consejo de administración? Creo que ese debería ser el Caso. Y cuando digo Informe, deberían poder tener Informe sobre lo que están haciendo. No siendo ese el Caso, entonces la junta tendrá algún tipo de estructura donde tendrá comités de riesgo o de seguridad que tendrán un miembro de la junta que se siente en ellos. Y, desde luego, deberían ser miembros de eso. Pero, en mi opinión, no te sientas como CISO solo porque lo eres.
Emily Wearmouth: Sí. Y supongo que te metes en el territorio de marcar tu propia tarea hasta cierto punto, ¿no? Si usted es tanto el CISO como la junta que está revisando el trabajo del CISO, hay un pequeño conflicto potencial allí de todos modos.
Richard Starnes: Por lo general, recomiendo que los consejos de administración tengan una experiencia en ciberseguridad y/o riesgo de ciberseguridad que no sea el CISO, porque alguien tiene que revisar esa tarea.
Emily Wearmouth: Sí. Parece que tiene sentido. Homaira, ¿hay... Ya sea por su experiencia personal o por la gente que ha visto pasar a algunos de los consejos de los que forma parte, ¿hay individuos que hayan venido de una ciberseguridad específica Background? Posiblemente en una Organización muy diferente a la junta en la que quieren sentarse. ¿Y tiene alguna idea sobre qué habilidades han agregado a sus credenciales de ciberseguridad para justificar su asiento en la junta directiva de esa empresa? ¿Deberían salir corriendo y encontrar habilidades financieras, por ejemplo?
Homaira Akbari: Sí. Se ha dado el caso, tengo que decirlo, de que la pieza más importante de la carrera de esa persona ha sido formar parte del ecosistema de la ciberseguridad. Pero, de nuevo, lo dije antes, son mucho más amplios que eso. Y con frecuencia, por cierto, incluso para cualquiera que quiera convertirse en miembro de la junta, si desea establecer un conjunto de habilidades para ser miembro de la junta, puede comenzar con juntas más pequeñas y específicamente juntas privadas, juntas no públicas, juntas respaldadas por capital de riesgo. Y en esos consejos, por ejemplo, si la empresa está respaldada por capital de riesgo y es una empresa cibernética, tendrías la oportunidad, incluso como CISO, de formar parte del consejo.
Homaira Akbari: Y eso te da, ese comienzo te da el gusto y las funciones, las funciones altas y vas aprendiendo. Así que definitivamente sugeriría eso. Pero una vez más, para las empresas públicas, se está volviendo muy competitivo y hay que tener la matriz de 15 habilidades y Background, Background y experiencia requeridas. Probablemente tengas que marcar la marca del 10 al 12 para estar en esa empresa pública. Y que fuera a veces de la raza, el género y la diversidad de la experiencia y Background, es, ¿ha sido director general? ¿Ha sido responsable de P&L? Y o lo tienes o no lo tienes. Si no lo tienes, no puedes marcarlos. Así que hay algunas preguntas difíciles que hay que responder y se necesita tiempo para llegar a ellas, por lo que originalmente o hace años, la mayoría de los miembros de la junta eran personas mucho mayores porque acababan de hacer muchas cosas diferentes a lo largo de su carrera y podrían haber marcado esas responsabilidades o matriz de habilidades.
Richard Starnes: En el Reino Unido tenemos gobernadores. Son similares a las juntas escolares en los EE. UU. en algunos aspectos, pero no en todos. Puede llamarse programa de gobernador o junta de gobernador, pero es un puesto de tipo junta no ejecutiva. Y este es un buen lugar para aprender cómo funcionan las juntas e identificar a los miembros de la junta que han estado allí por un tiempo y obtener algún nivel de información y tutoría de ellos para aprender cómo funcionan todos esos procesos, cómo funciona la gobernanza si aún no conoce y hace ese tipo de contribuciones. El Programa de Gobernadores Cibernéticos es que estamos teniendo algunos desafíos, particularmente en ciberseguridad en el Reino Unido. Y están tratando de incorporar a personas con experiencia en ciberseguridad y experiencia en TI a esas juntas para ayudar a las escuelas a lidiar con esas cosas. Pero esa es una buena manera de obtener algo desde el punto de vista de que obtienes experiencia en la junta directiva y las juntas obtienen tu experiencia desde el punto de vista de TI y obtienes algo y das algo a cambio al mismo tiempo.
Emily Wearmouth: Suena como una forma brillante de empezar a marcar algunas de esas casillas de las que habló Homaira y demostrar que tienes experiencia en ciertos tipos de roles más amplios. Pero también quería ver cómo se hace para encontrar este tipo de papeles. Hace unas semanas me llamó la atención un sitio web que es un poco como una bolsa de trabajo, pero para puestos de director no ejecutivo. Y estaba echando un vistazo por allí y hay algunas cosas fascinantes enumeradas. ¿Es esa la forma principal en que los consejos de administración encuentran a los nuevos directores no ejecutivos o es más bien un silencioso golpecito en el hombro de alguien que conoce a alguien? ¿Cómo, en realidad, estos roles identifican a los candidatos y los candidatos encuentran roles?
Homaira Akbari: Seguro. Hay varias posibilidades. Por ejemplo, hay algo llamado BoardProspects. Creo que es boardprospects.com que puedas seguir... Hay... Conozco algunas redes que son todas redes femeninas. A veces tienes que estar ya en una junta directiva para poder entrar en esas redes. Creo que en todos los países hay institutos directores. Por ejemplo, en Estados Unidos es la Asociación Nacional de Directores Corporativos. Y puedes convertirte en miembro incluso si no eres un director corporativo e ir a sus eventos y comenzar a conocer gente. Así que hay una serie de estas situaciones.
Homaira Akbari: En ciberseguridad también, hay una serie de redes de las que puedes formar parte. Como dije antes, una de las formas de aprender es también convertirse en miembro de la junta directiva de empresas privadas, pequeñas empresas privadas. Eso significa que si tienes relación con capitalistas de riesgo o capital privado, podrías aprovechar eso y aprovecharlo. Pero no hay duda de que tienes que hacer networking. Si piensas que puedes sentarte allí, ir a un sitio y postularte, es un poco más difícil que, yo diría, que encontrar un empleo.
Richard Starnes: La otra cosa que debe tener en cuenta, en algunos aspectos, esto no es diferente de la búsqueda de empleo. Y del hecho de que solo porque una junta te tendrá, debes asegurarte de que quieres estar en esa junta. Particularmente, si te acercas a esto por primera vez, no puedes simplemente decir: "Me lo han preguntado, así que sí". Debes asegurarte de que encaje bien como lo harías en un trabajo. Y eso es desde el punto de vista de lo que hace la empresa, cuál es el nivel de madurez de la empresa en el gobierno particular. Y esas son las cosas que hay que tener en cuenta también.
Emily Wearmouth: Ahora, quiero darle un poco la vuelta a la conversación. Hemos hablado de lo que los líderes de ciberseguridad pueden aportar a un puesto en la junta directiva. Ahora, quiero echar un pequeño vistazo, porque les he visto a ambos hablar en el pasado sobre las opiniones acerca de los conocimientos de ciberseguridad que existen o no entre los miembros más amplios de la junta, personas que no provienen de una ciberseguridad Background. Para empezar, solo para hacer una pregunta muy binaria, ¿es suficiente el conocimiento de ciberseguridad en los consejos de administración en general?
Homaira Akbari: Un par de cosas. Tiene que darse cuenta de que muchos miembros de juntas directivas, no sólo no conocen la cibernética, sino que no necesitan... Hoy, especialmente hoy, los miembros de la junta, no tienen una buena tecnología Background porque vinieron y ni siquiera... Como cuando fueron a la escuela de negocios, la ciberseguridad no se enseñaba. No era un curso. Hoy en día, la ciberseguridad se enseña, la transformación digital se enseña en las escuelas de negocios. Así que sigue siendo un tema bastante abstracto para ellos. Y creo que una de las cosas que hemos visto con frecuencia es que no entienden el concepto del hecho de que nunca, nunca estás 100% seguro, sin importar cuánto dinero gastes. Así que hay que explicárselo a ellos. Y como tienes que explicar, vas a ser vulnerado. Por lo tanto, su Organización tiene que estar preparada para cuando se produzca una brecha, cómo identificar que se ha producido, cómo contenerla, cómo responder a ella, cómo recuperarse de ella.
Homaira Akbari: Y eso es algo que no entienden, ni entienden qué inversión hay que hacer para hacer eso. Protección, lo entienden mejor. Bien. Construyo muros y me protejo. Lo mismo en el ciberespacio. El año pasado copubliqué un libro llamado 'Cyber Savvy Boardroom', que realmente trata de proporcionar modelos mentales para los miembros de la junta y darles los conceptos básicos de ciberseguridad para que puedan internalizar el conocimiento. Esa es la palabra clave. Tienes que ser capaz de interiorizar lo que significa, la ciberseguridad y la ciberseguridad, y cómo te defiendes. No tienes que ser un especialista, pero solo tienes que entender los conceptos. Y las razones por las que los piratas informáticos y los chicos malos persiguen a todas las empresas y el hecho de que hoy en día, debido a Ransomware, todas las empresas son un objetivo.
Homaira Akbari: Hace diez años, ese no era el Caso. Sólo si usted pertenece a un determinado sector, será el objetivo, ya sea el sector financiero o el sanitario. Pero el transporte era menos importante. No tienen muchos Datos interesantes. Pero hoy en día, cuando se puede utilizar Ransomware, obtener dinero incluso de municipios, incluso de organizaciones sin ánimo de lucro porque se interrumpe su funcionamiento, ya nadie está a salvo. Así que esa es la clave. Así que creo que es una educación continua. Creo que se sigue poniendo énfasis en ello. Esto no tiene fin, seguro. Pero estoy seguro de que Richard tiene bastante... Podría agregar bastante a este tema.
Richard Starnes: En respuesta a la pregunta, no, no lo hacen. Pero mi respuesta es, ¿por qué deberían hacerlo? Son ejecutivos por derecho propio y muy buenos en sus propias áreas especializadas. Mi respuesta a eso es, en general, que los CISO necesitan aprender a hablar con la junta en un lenguaje que entiendan, que es el riesgo de negocio, que las juntas entienden bastante bien. Y esa es la traducción que tiene que ocurrir desde los CISOs. No sabes lo que es un cortafuegos, y no voy a desperdiciar 15 minutos de tu tiempo explicándote uno porque no te importa y no deberías. Pero esto es lo que hace un cortafuegos. Mitiga estos riesgos para la empresa, y por eso los tenemos. Así que ese es el tipo de cambio de lenguaje que creo que tenemos que hacer entre la comunidad de CISO, es hablar en lenguaje de negocios.
Homaira Akbari: Estoy totalmente de acuerdo con Richard. Creo que el lenguaje... Recuerdo que estuve en este evento con varios miembros de la junta y donde di un pequeño discurso y luego fue un debate. Y luego uno de los miembros de la junta, me dijo, bueno, y realmente estaba muy seria. Ella dijo: "Creo que algunas de estas personas no hablan inglés. Deberíamos enviarlos a clases de idiomas".
[risas] Homaira Akbari: Y yo estaba como, está bien. Es exactamente al punto que Richard acaba de decir. Dijo que en realidad no hablan inglés.
[risas] Emily Wearmouth: Es un punto muy bueno. Me pregunto si cuando ocurren estos incidentes y de repente la ciberseguridad puede estar en lo más alto de la agenda de un consejo porque están en medio de un incidente, e incluso hemos visto esto, algunas de las escuelas en el Reino Unido, Richard, estarás familiarizado con esto, siendo objeto de ataques Ransomware y teniendo peticiones de rescate que se les hacen. Se trata de escuelas públicas como en dinero del gobierno. No tienen el dinero, pero todo el mundo está siendo víctima de esto. Cuando ocurren estos incidentes o el sector se entera de incidentes ocurridos a la Organización homóloga, ¿se da la vuelta y de repente la cibernética se convierte en un objetivo desproporcionadamente láser de la junta o no es ese el caso? Estoy tratando de imaginar cómo estas conversaciones fluyen y refluyen dentro de la consideración de la junta. ¿Se mueve con incidentes?
Homaira Akbari: La respuesta es sí. Si no tenían un buen programa cibernético y les pilló por sorpresa y son varios ejemplos, no quiero señalar, sobre todo porque estoy en el sector. Pero tal vez lo haga, Target, Equifax, SolarWinds. Y el impacto, estas infracciones, el impacto ha sido enorme. Y es el momento en que estas Organizaciones no estaban totalmente preparadas y no han tenido un programa completo, entonces se vuelve todo bastante caótico. Y tiene ciertas consecuencias importantes, que tuvo para las tres empresas que he citado, y que sigue teniendo.
Richard Starnes: Hace poco escribí un artículo sobre este mismo tema, y la razón por la que estoy sonriendo es porque necesitaba un gráfico para ello, y le pedí a Dolly que me escribiera un gráfico de cómo se ve cuando una junta está lidiando con un incidente cibernético. Y me atrajo una junta directiva sentada en una mesa. Había papeles volando por todas partes. Había gente gritando y gritando, y había pantallas rojas parpadeando por todas partes, y mi respuesta inmediata fue, si así es como se ve su junta durante un incidente, lo primero que debe hacer es despedir a su CISO. Te entrenaste para esto, y luego sabrás cómo reaccionar ante ellos. La junta directiva debe estar comprometida. Deberían pasar por al menos un escenario al año para comprender completamente cómo funcionan estas cosas.
Richard Starnes: El Ransomware es bueno, y es muy fácil para ciertas personas... Soy ex agente de la ley, así que con mi sombrero de agente de la ley puesto es, no, no quiero pagar el rescate, quiero meter a esta gente en la cárcel. Pero, por desgracia, no es tan sencillo. Cuando eres una empresa y te han quitado la capacidad de ganar dinero o mantener tu empresa, y estás acumulando deudas y perdiendo clientes cada minuto, a veces tienes que hacer lo impensable, que es pagar. Es muy fácil de situar, pero tienes que ser capaz de haber estado allí mentalmente y haber hecho algunos de estos cálculos para ahorrar tiempo. Y eso viene a través de cosas como escenarios.
Emily Wearmouth: Sí. Eso suena muy sensato. Solían decir que de la boca de los niños brota la verdad. Y creo que ahora es de la boca de una solicitud de IA, tiendes a averiguar cuáles son los estereotipos de los que se está alimentando. Fascinante. Así que puedo ver que nos estamos quedando sin tiempo. Y Homaira tiene una reunión a la que ir. Supongo que se trata de una reunión de la junta directiva. Así que voy a terminar ahí. Pero muchas gracias a ambos por su tiempo. Has estado escuchando el podcast de los visionarios de la seguridad. He sido tu anfitriona, Emily Wearmouth. Suscríbete al podcast si aún no lo has hecho. Mi coanfitrión, el maravilloso Max Havey, y yo grabamos nuevos episodios cada dos semanas. Así que cubrimos todo tipo de temas interesantes y hay algo para todos. Muchas gracias, Homaira. Gracias, Richard, por acompañarnos. Ha sido genial tenerte aquí.
Por qué Netskope 
){kind=icon}
