A menudo se observa cierta desconexión entre los líderes empresariales y los responsables de TI y ciberseguridad. De hecho, según un estudio, solo el 39% de los responsables informáticos creen que sus jefes realmente comprenden el papel de la ciberseguridad y un porcentaje similar, el 36%, afirma que la ciberseguridad solo se entiende a través de los requisitos de cumplimiento. Y es que, en términos generales, la percepción de la ciberseguridad se limita a mantener a raya las amenazas, pero no como un elemento que contribuye a los ingresos, y menos aún como un habilitador del negocio.
El resultado final es que, aunque se espera que el gasto global en ciberseguridad y gestión de riesgos crezca más de un 11% en 2023, puede que no se gaste necesariamente de forma inteligente, ya que los consejos de administración tienden a liberar presupuesto de forma fragmentada y reactiva, por ejemplo, después de una infracción, resultando en una acumulación de soluciones puntuales y en una mala relación calidad-precio.
«En Europa, la agencia de seguridad de la UE, ENISA, advirtió en 2022 sobre el aumento de exploits de Zero-Day, ransomware como servicio, hackers a sueldo, ataques a la cadena de suministro y técnicas de ingeniería social. La responsabilidad de lidiar con estos desafíos recae en última instancia en el responsable de la seguridad de la información. Sin embargo, para que el desempeño de este rol sea efectivo, es fundamental contar con el respaldo adecuado por parte de la junta directiva y con el compromiso y apoyo necesarios para llevar a cabo los proyectos de ciberseguridad” explica Josep Albors, director de Investigación y Concienciación de ESET España.
Alineando la Junta Directiva con la estrategia de ciberseguridad
ESET, compañía líder en ciberseguridad, consciente de la necesidad de mejorar la comunicación entre los líderes empresariales y los responsables de TI, ofrece seis consejos clave para facilitar una interacción más efectiva con las juntas directivas, con la que obtener una aceptación a largo plazo para desarrollar las iniciativas estratégicas.
- Habla el idioma correcto. El primer paso hacia una mejor alineación entre la ciberseguridad y el negocio es hacer que se entienda, es decir, cambiar el lenguaje de bits y bytes y detalles tecnológicos complejos por el del idioma empresarial. No se trata de explicar que un ataque de ransomware podría desconectar 200 servidores, sino que podría causar un tiempo de inactividad de una semana a un costo de 400.000 euros por hora. Eso hará que sea más fácil involucrar a los líderes de la junta directiva y obtener la aceptación para una iniciativa estratégica específica.
- Mide el riesgo y hazlo relevante. Conversar en un idioma que ambas partes entiendan se reduce en buena medida a compartir datos basados en métricas que traduzcan la información de ciberseguridad en mediciones que prioricen desde la empresa. Es fundamental tener en cuenta las métricas que muestran el rendimiento y la eficacia de los controles de ciberseguridad existentes, para ilustrar dónde las cosas funcionan bien y las áreas que necesitan mejorar. Seguir estas métricas con el tiempo agregará un impacto adicional, al igual que las comparaciones con los estándares de la industria.
Cuando se presenten estos datos hay que hacerlo de manera clara y sencilla, pero manteniendo un alto nivel. Incluso se pueden utilizar historias anecdóticas de la compañía para destacar algún punto.
- Promueva la ciberseguridad desde el “diseño” y de forma “predeterminada”. Según el Foro Económico Mundial (WEF), el 43% de los líderes empresariales piensan que es probable que un ciberataque «afecte materialmente» a su organización en los próximos dos años. Si bien es positivo que aprecien la gravedad del riesgo, también refleja una mentalidad cada vez más centrada en canalizar los recursos hacia el día a día en lugar de la inversión estratégica.
El Director de Seguridad de la Información (CISO) necesita persuadir a sus pares en la junta para que analicen el riesgo de manera premeditada y que al hacerlo obtendrán mejores resultados. La “seguridad por diseño” y “por defecto” son las mejores prácticas promovidas por regulaciones como la RGPD. Estos conceptos significan que la ciberseguridad debe incorporarse desde su inicio en las nuevas iniciativas o productos, en lugar de agregarlas al final o, peor aún, después de un incidente.
- Reunirse con más frecuencia. Más de la mitad (56%) de los CISO se reúnen mensualmente o con mayor frecuencia con su junta directiva, según el Foro Económico Mundial. Este es un gran paso para lograr su respaldo en materia de ciberseguridad, especialmente dada la velocidad con la que evoluciona el panorama de ciberamenazas. Sin embargo, es necesario ir más allá para promover la comprensión mutua. Una forma es asegurarse de que el CISO informe directamente al CEO, lo que garantiza que este último tenga más exposición a la ciberseguridad y que el CISO obtenga una retroalimentación más directa de la empresa.
- Formalizar programas de ciberseguridad. Demasiados programas de ciberseguridad son ad hoc y tienen un enfoque técnico. En su lugar, deben documentarse adecuadamente, medirse con respecto a los KPIs y métricas relevantes y formalizarse en una estructura de arriba hacia abajo. Esto ayudará a consolidar el papel de la ciberseguridad en el negocio.
- Contrata a algunos BISO. El Oficial de Seguridad de la Información Empresarial (BISO) es un rol específico dentro de un departamento o unidad de negocio, responsable de establecer conexiones entre el negocio y el equipo de ciberseguridad. Al hacerlo, contribuyen a convertir la estrategia de alto nivel en pasos operativos prácticos. De esta manera, pueden crear esa cultura de “ciberseguridad por diseño” a la que toda organización debería aspirar y, al hacerlo, demostrar a los consejos de administración escépticos que la ciberseguridad debe estar integrada en cada parte del negocio.
“A pesar de los avances en ciberseguridad, la brecha entre líderes empresariales y profesionales de TI persiste. Lograr el compromiso y la aceptación en las salas de juntas es un proceso que puede llevar meses o incluso años, y requiere un cambio de mentalidad tanto de líderes empresariales como de CISO. Integrar la ciberseguridad desde el inicio, comunicarse en términos empresariales y mantener una estrategia a largo plazo son pasos esenciales para lograr una comunicación efectiva que permita el desarrollo de las estrategias de ciberseguridad”, concluye Albors.
Phil Muncaster. Accede al post en inglés aquí.