Para los próximos dos años, el 74% de las organizaciones en México esperan un aumento en los ciberataques. Cada vez más, los líderes empresariales y de seguridad se están dando cuenta del impacto que estos ataques cibernéticos  pueden tener en la empresa a lo largo del tiempo.

Esto se destacó en el estudio El surgimiento del ejecutivo de seguridad alineado con la empresa, realizado por Forrester Consulting en nombre de Tenable que encuestó a 416 ejecutivos de seguridad y 425 ejecutivos de negocios en 10 países, incluido México, y reveló una desconexión en cómo las empresas entienden y gestionan el riesgo cibernético.

Francisco Ramírez de Arellano, vicepresidente de Ventas de Tenable para América Latina, destacó que las organizaciones deben comprender qué tan expuestas están a un ataque, qué tan rápido pueden resolverlo y qué efecto puede tener un ataque en las funciones y procesos centrales del negocio. Hacerlo requiere de una comunicación sólida, continua y basada en datos entre la seguridad y el liderazgo empresarial.

Según el estudio, los líderes de seguridad tienen el desafío de comunicar claramente su postura de seguridad en términos de riesgo empresarial. Solo la mitad de los líderes de seguridad global, el 51%, dijo que su empresa trabaja con las partes interesadas del negocio para alinear los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio. Mientras que el 43% señaló que revisa regularmente las métricas de desempeño de la organización de seguridad con las partes interesadas del negocio.

Menos del 50% de los líderes de seguridad global están utilizando métricas de amenazas que incorporan el contexto del riesgo empresarial para medir el riesgo cibernético de sus organizaciones. Solo el 54% de los líderes de seguridad y el 42% de los ejecutivos dijeron que sus estrategias de ciberseguridad están completa o estrechamente alineadas con los objetivos del negocio. En México, solo el 46% de los líderes de seguridad expresaron una elevada confianza en responder a la pregunta fundamental: “¿Cuán seguros o en riesgo estamos?

“Riesgo es un término que los profesionales de la ciberseguridad conocen y temen, dijo Cesar Garza, CISO de Home Depot en Monterrey, México. “Los profesionales de la ciberseguridad nos ocupamos del riesgo a cada minuto: vulnerabilidades, fallas de código, el factor humano, procesos rotos, tecnología obsoleta, configuraciones incorrectas, etc. El riesgo es el factor común entre el lenguaje de la ciberseguridad y los ejecutivos de negocios. Es el común denominador”.

“Pero aun así, es un desafío traducir los riesgos de ciberseguridad al lenguaje de los riesgos del negocio que los ejecutivos deben comprender. En algunos casos, debemos imaginarnos el peor de los escenarios, hablar sobre preocupaciones como multas, daños a la marca y pérdida de la lealtad del cliente, para enviar un mensaje de verdad. Por eso me gusta decir: “Hablemos de riesgos para que podamos entender nuestras inversiones en ciberseguridad”, dijo César Garza.

Para brindar un mejor contexto empresarial, de seguridad y de gestión de riesgos, Francisco Ramírez de Arellano mencionó que los líderes primero deben poder responder a dos preguntas clave:

1. Profundice en el corazón de la organización; ¿cuál es su propuesta de valor? El objetivo del negocio debe ser claro; en caso de un ciberataque, la reputación y la continuidad del negocio están en juego. Por ejemplo, en el sector farmacéutico, proporcionar medicamentos seguros y de calidad es el valor esencial.

2. ¿Cuáles de sus activos son fundamentales para realizar la propuesta de valor empresarial? Es extremadamente importante identificar aquellos sistemas, aplicaciones y dispositivos que son fundamentales para la organización y que, en caso de un ataque, podrían paralizar las operaciones  críticas del negocio.

“Al final del día, los ejecutivos están más preocupados por garantizar que la empresa esté preparada para seguir cumpliendo con la propuesta de valor. Las estrategias de ciberseguridad que se alinean con los objetivos empresariales fomentan un lenguaje universal entre los líderes. Esto permite a los líderes de seguridad evaluar los riesgos en función de la criticidad de sus activos vulnerables y su pertinencia para cumplir con la propuesta de valor empresarial, con lo que pueden formular una respuesta informada y clara a la pregunta: “¿Cuán seguros o en riesgo estamos?”, concluyó Ramírez de Arellano.