Una de las conversaciones más difíciles en seguridad no ocurre entre un analista y un atacante. Ocurre entre el CISO y la junta directiva.
El problema es de idioma. El equipo de seguridad habla de vulnerabilidades, vectores de ataque y CVEs. La junta directiva habla de riesgo, retorno de inversión y continuidad del negocio. Y cuando esos dos idiomas no se traducen bien, la seguridad siempre pierde el presupuesto.
El error más común
La mayoría de presentaciones de seguridad para juntas están llenas de “datos sin contexto”: números de amenazas detectadas, porcentajes de parches aplicados, cantidad de alertas procesadas.
Esos datos son importantes para el equipo técnico. Para una junta directiva, no dicen nada. Lo que una junta necesita escuchar es: ¿qué podría pasar, qué tan probable es, y qué nos costaría?
El marco correcto
Cuando preparo una presentación de riesgos para un comité directivo, uso siempre la misma estructura:
1. Activo en riesgo: No “los servidores”. Sino “el sistema de facturación que procesa el 60% de nuestros ingresos”.
2. Escenario de amenaza: No “un ataque de ransomware”. Sino “un actor externo cifra nuestros sistemas y exige pago para restaurar operaciones”.
3. Impacto en el negocio: Cuantificado. Días de operación perdidos, costo de recuperación estimado, multas regulatorias posibles.
4. Estado actual del control: Qué tenemos hoy para prevenir o mitigar esto. Sin exagerar ni minimizar.
5. Recomendación: Una acción concreta, con costo y tiempo estimado.
Lo que la junta realmente quiere saber
Después de años haciendo estas presentaciones, aprendí que hay tres preguntas implícitas que una junta siempre tiene:
“¿Estamos peor que la competencia?” — El benchmarking sectorial es valioso aquí.
“¿Estamos cumpliendo con lo que nos exigen?” — Regulaciones, contratos, requisitos de aseguradoras.
“¿Si pasa algo, vamos a poder responder?” — No se trata solo de prevenir, sino de tener capacidad de recuperación.
Un consejo práctico
La próxima vez que tengas que presentar seguridad a un comité directivo, elimina todos los acrónimos técnicos de tu presentación. Si no puedes explicar el riesgo sin un glosario, aún no tienes la claridad suficiente sobre el problema.
La claridad en la comunicación de riesgos no es solo una habilidad de presentación. Es una señal de que entiendes profundamente lo que estás comunicando.
¿Necesitas preparar una presentación de riesgos para tu junta? Puedo ayudarte.