El consejo pregunta: «¿Estamos seguros?» ¿Cómo debería responder un CISO?
Respuesta breve
«Seguro» no es binario; un CISO comunica en el lenguaje del riesgo de negocio: los riesgos más relevantes, cómo los controles actuales los reducen frente al apetito de riesgo del consejo, las inversiones previstas y el riesgo residual que se acepta. Un «sí» absoluto es una falsa garantía que se derrumba en cuanto ocurre un incidente. «No, nunca estaremos seguros» es técnicamente cierto pero inútil y delata falta de control del problema. Una lista de cortafuegos y herramientas refleja gasto, no riesgo ni resultados que el consejo pueda gobernar.
Cuando un consejo pregunta «¿Estamos seguros?», en realidad pregunta «¿Estamos gestionando el ciberriesgo de forma responsable y deberíamos preocuparnos?» La pregunta evalúa si el CISO sabe traducir la realidad técnica a un lenguaje de gobierno sobre el que el consejo pueda actuar.
Por qué plantearlo como riesgo es lo correcto
La seguridad no es un estado al que se llega; es un proceso continuo de reducción del riesgo a un nivel que la dirección ha acordado aceptar. La respuesta sólida nombra los principales riesgos materiales (ransomware sobre las operaciones, exposición a terceros, pérdida de datos personales regulados), expone la postura actual frente a cada uno, la compara con el apetito de riesgo del consejo, identifica adónde va la inversión y explicita el riesgo residual que el negocio acepta. Así el consejo tiene algo que gobernar: financiar, aplazar o aceptar con pleno conocimiento.
Por qué fallan las otras opciones
- «Sí, estamos totalmente seguros.» Es una falsa garantía. Ninguna organización está totalmente segura, y la afirmación destruye su credibilidad el día de un incidente — el consejo recordará que lo dijo.
- «No, nunca estaremos seguros.» Técnicamente defendible pero inútil. No ofrece dirección, ni prioridades, y delata falta de control del panorama de riesgo.
- Una lista de cortafuegos y herramientas. Confunde los medios con los resultados. El gasto en productos no le dice al consejo si el riesgo baja ni si la inversión fue acertada. El consejo gobierna el riesgo y los resultados, no las compras.
Qué busca el entrevistador
Quiere ver que usted entiende que el CISO es un responsable del riesgo de negocio, no un jefe de la fontanería informática. El reflejo de un candidato débil es buscar tranquilizar («sí») o presentar un inventario técnico — dos posturas que parecen respuestas pero no ayudan al consejo a decidir. La madurez se ve en conectar controles, riesgo, apetito e inversión, manteniéndose honesto sobre lo que queda sin atender.
Posibles preguntas de seguimiento
- ¿Cómo expresaría el apetito de riesgo de la organización a un consejo no técnico?
- ¿Qué métrica única pondría en la primera diapositiva de un informe de seguridad al consejo, y por qué?
- ¿Cómo evita dar una falsa garantía al consejo sin dejar de resultar creíble?