En comparación con los riesgos que las empresas han gestionado durante muchas décadas, el riesgo cibernético es nuevo, inmaduro y está creciendo rápidamente. La gestión del riesgo cibernético por parte de la Junta está todavía en sus inicios y está lejos de ser estable. La conversación sobre el desafío de la gobernanza que plantean las amenazas cibernéticas se centró en tres temas: cómo difiere el desafío de los riesgos conocidos del pasado, cómo están estructurando las juntas directivas su supervisión de la seguridad cibernética y cómo están interactuando las juntas directivas y la administración en este tema crucial: Un desafío nuevo y diferente para las juntas. Las amenazas cibernéticas evolucionan constantemente, y las motivaciones y acciones de los malos actores son extraordinariamente difíciles de entender y predecir. Los modelos de gobernanza del riesgo que han funcionado bien en el pasado para los activos físicos y financieros están resultando, en su mayor parte, inadecuados para el riesgo cibernético. Una amplia variedad de estructuras de supervisión. (Tal vez sea de interés más investigación sobre el concepto). A medida que las amenazas cibernéticas se transforman y crecen, la sociedad está pidiendo cuentas a las juntas directivas de empresas gigantescas por los fallos en la protección de los activos de información y el mantenimiento de las empresas del tamaño y la talla representadas en la Red de Directores de Riesgos Cibernéticos, que a menudo tienen sistemas de gestión muy sofisticados para defenderse de los ataques cibernéticos y responder a una crisis cibernética. Pero incluso en estas empresas, la mayoría de las juntas directivas no están satisfechas de haber logrado prácticas maduras de gobernanza en este ámbito. Interacciones complejas entre los directores y la administración. (Tal vez sea de interés más investigación sobre el concepto). En muchas empresas, las juntas confían al jefe de seguridad de la información (CISO) la responsabilidad de la ciberseguridad. Pero la tecnología es tan omnipresente, la información está tan distribuida y los delitos cibernéticos son tan fluidos que los informes del CISO a la junta son, en el mejor de los casos, apuestas de mesa en la seguridad cibernética. Los directores dicen que necesitan crear más controles y crear confianza no sólo con sus CISOs, sino en todos los rangos ejecutivos, y en algunos casos en niveles más profundos de gestión de lo habitual.