A medida que las organizaciones cambian al trabajo remoto y adoptan nuevas tecnologías para impulsar la transformación digital, la superficie de ataque continúa expandiéndose, lo que requiere un nuevo enfoque de la ciberseguridad. El riesgo cibernético ahora es igual al riesgo empresarial, ya que los activos críticos pueden ser víctimas de ciberataques, que pueden afectar la continuidad del negocio. Esto significa que los líderes de seguridad de hoy deben estar preparados para trabajar con sus homólogos ejecutivos de negocios para reducir el riesgo cibernético.

Actualmente, la gran mayoría de los ejecutivos de organizaciones globales alineadas con el negocio (80%) informan tener un Oficial de seguridad de la información empresarial (BISO) o un título similar, en comparación con solo el 35% de sus contrapartes menos alineadas, según un estudio reciente realizado por Forrester Consulting y encargado por Tenable.

Ahora, más que nunca, los líderes de seguridad buscan nuevas formas de mejorar su alineación con el negocio, asumir una visión empresarial e influir en la dirección estratégica de la organización para mejorar la visibilidad de la postura de seguridad, predecir las amenazas entrantes y actuar para abordar el riesgo.

Cuando se le preguntó a Cesar Garza, CISO de The Home Depot México sobre cómo convertirse en un líder de ciberseguridad alineado con la empresa,  respondió: “Comprenda su negocio, comprenda lo que preocupa a sus líderes del negocio, sea un facilitador y dedique tiempo a comunicarles los riesgos y a escucharlos. A menudo, esta es la parte más desafiante porque todos queremos tener razón y ser la prioridad, pero todos somos una prioridad: el negocio, la ciberseguridad y la operación, si.”

Garza reconoció el desafío de traducir los riesgos de seguridad cibernética en riesgos del negocio para comunicarse con los ejecutivos. “En algunos casos, necesitamos imaginarnos el peor de los escenarios, hablar de multas, daños a la marca y pérdida de la lealtad del cliente, para enviar realmente el mensaje. Entonces, me gusta decir: hablemos de riesgos para que podamos entender las inversiones en ciberseguridad”.

Para ayudar a los líderes de seguridad a alinearse con el negocio, Tenable reunió ocho mejores prácticas que todos los CISO deberían incorporar en sus operaciones diarias:

1. Manténgase actualizado con todos los recursos corporativos externos. Los CISO deben dedicar tiempo a revisar los documentos públicos que brindan información valiosa sobre el estado actual de la organización para obtener una mayor información del negocio.

2. Mantener una comunicación permanente con todas las áreas del negocio. Un líder de seguridad debe establecer y nutrir la comunicación con los jefes de cada departamento para conocer cuáles son sus necesidades y desafíos diarios, su misión será sensibilizar, educar y capacitar a la organización sobre el riesgo cibernético.

3. Establecer un entendimiento de las prioridades y desafíos que enfrenta la organización y su industria. El CISO debe comprender la visión del negocio, saber qué procesos y datos son críticos y qué información respalda el crecimiento y el desarrollo.

4. Implementar reuniones periódicas con la alta dirección. Los mejores líderes de seguridad entienden que una de sus responsabilidades más importantes es mantener abierta la línea de comunicación entre la junta directiva y la unidad de seguridad del negocio. Dado que los directores reconocen que la seguridad es tan crítica como cualquier otra unidad estratégica del negocio, los CISO deben continuar refinando sus estrategias para comunicar el riesgo de manera efectiva y responder a sus preguntas en términos de negocio.

5. Justifique el ROI. La justificación del presupuesto de seguridad debe explicarse claramente, utilizando una terminología y un lenguaje adaptados a la alta dirección. Los CISOs deben prestar atención a cómo los jefes de cada departamento demuestran el retorno de su inversión y deben encontrar formas de adaptar sus propias métricas de ROI de seguridad de manera similar.

6. Identifique y utilice una red de asesores de negocio confiables. Es importante que los CISO confíen en los asesores para escuchar las diversas perspectivas y ayudarlos a comprender el negocio.

7. Establecer relaciones con los profesionales de riesgos de la organización. Un buen líder en seguridad debe participar en el desarrollo de estrategias de gestión de riesgos empresariales para priorizar la ciberseguridad.

8. Comprender la relación de la empresa con terceros. Los CISO deben conocer las relaciones clave entre la empresa y sus socios externos, como los proveedores de servicios de procesamiento de nóminas o planificación de recursos empresariales, así como obtener visibilidad de las herramientas y plataformas que aprovechan para realizar negocios. Esta visibilidad es fundamental para mantener una comprensión de la postura de seguridad a fin de mitigar el riesgo.

A través de estas mejores prácticas, los líderes de seguridad pueden transformar su rol para alinearse óptimamente con el negocio. La colaboración fortalecida permite a los ejecutivos alinear estrategias, comprender las prioridades y reducir el riesgo cibernético como un frente unido.