Contenido Exclusivo

¿Cómo hacer que la ciberseguridad no sea percibida como un ‘agujero negro’ de costos?

El nuevo paradigma laboral híbrido y el creciente número y sofisticación de los ciberataques hacen que las empresas tengan previsto aumentar su presupuesto para ciberseguridad, de nuevo, en el próximo año. Hasta el 69% de ellas, en todo el globo, según un informe de PwC. Y, hasta el 26% verá cómo el gasto se aumenta en un 10% o más. Pero, a pesar de la cifra positiva, este tipo de estadísticas ayudan a perpetuar la idea de la ciberprotección como un agujero negro de costos. Eso, a su vez, puede crear controversias entre los CISO y otros departamentos ejecutivos, y puede confundir la idea que tienen sobre el valor real de estas partidas.

“Muchos líderes empresariales están más dispuestos que nunca a fomentar la transformación digital, pero encuentran especialmente frustrante el uso generalizado de términos de seguridad e indicadores de protección”, aseguró Phil Zongo, director ejecutivo de Cyber Leadership Institute. “No obtienen claridad sobre las amenazas concretas que se dirigen a su negocio, la solidez de sus defensas o qué inversión se requiere. Sienten que están gastando dinero en balde, aunque los equipos de seguridad luchan por traducir sus iniciativas al lenguaje de negocio”.

Sin embargo, muchos CISO han conseguido aumentar su reputación demostrando que la seguridad no es solo fundamental para el éxito, sino que también es una ventaja tan competitiva como la infraestructura digital en sí misma. ¿Cómo lo han conseguido?

Los mensajes que se dan afectan a la percepción del departamento

En un giro a la máxima empresarial “no se puede administrar lo que no se mide”, aseguró Ahmed Jamil CISO en Russel Reynolds Associates. “No se puede mejorar lo que no se sabe comprender. Por ello, a veces el primer paso es el reconocimiento, apreciar cómo piensan de ti en las altas esferas directivas”.

Este es un paso que requiere cierta reflexión ya que al CISO se le puede llegar a ver como un líder ejecutivo que trabaja para dar forma a la política y la estrategia del grupo. O, si por el contrario, la seguridad sigue siendo solo un complemento de estas. “¿Es usted reactivo o proactivo? ¿Cuál es su posición dentro de la organización?”, cuestionó Jamil. “Los CISO pueden quedarse atascados y no afianzar el futuro. Deben expresar en términos comerciales cómo ven los próximos meses, cómo están haciendo gala de esa proactividad y cómo están demostrando que, efectivamente, la seguridad se sitúa en el centro de la innovación”.

Cultivar aliados en el departamento de negocio

Zongo abogó por una postura del CISO dentro de la participación de todas las partes interesadas en el negocio. “Ningún programa de transformación tiene éxito sin el apoyo ejecutivo, y para la ciberseguridad no es diferente. Involucrar a los departamentos clave desde el principio e infundir sus perspectivas en la estrategia es esencial. Cuando los ejecutivos se sienten comprometidos desde el principio es probable que pongan todo su peso en el desarrollo de la digitalización”.

Para conseguir esto, Zongo consideró que los CISO deben establecer un comité de riesgo cibernético multifuncional compuesto por las partes interesadas los equipos de comercial, legal, tecnología, desarrollo de productos, adquisiciones y finanzas. “Este comité establece el tono correcto para los directivos, ratifica la estrategia de ciberseguridad y garantiza que su función esté totalmente financiada y bien respaldada”.

Sin embargo, muchos CISO se alinean aun con los objetivos del CIO y su hoja de ruta de TI. Estos últimos al menos sí que deberían posicionarse de frente a la estrategia general de la empresa. Aun así, estas estructuras eliminan el acceso general de la ciberseguridad a la compañía. Un estudio de Heidrick & Struggles puso de relieve que el 38% de los CISO reportan al CIO, mientras que solo el 11% se comunica directamente con el CEO. “Cuando los CISO trazan una línea directa hacia los objetivos generales tienen una mayor aceptación de su trabajo y pueden conseguir más apoyo”, dijo Pam Nigro, vicepresidenta de TI y oficial de seguridad en Home Access Health Corporation.

Acentuar lo positivo

En la actualidad, las juntas directivas están prestando más atención a la seguridad a medida que aumentan los ciberataques, las regulaciones específicas y las demandas de los usuarios. Así, la seguridad ocupa el tercer lugar de la lista de las principales preocupaciones directivas, según JWC, justo después de la estrategia corporativa y del liderazgo del CEO y su sucesión. Pero, al mismo tiempo, muchos no confían particularmente en la comprensión de este ámbito. De hecho, solo el 33% de los directivos consideró que comprenden “muy bien” el escenario de vulnerabilidades; el 53% solo comprende algo; y, por el contrario, el 13% menciona su comprensión como “no muy buena”. Solo el 1% anda completamente perdido en este aspecto.

Este interés creciente presenta una oportunidad para los CISO. “Llegar a este puesto ha supuesto un viaje muy duro. Los CISO siempre han sentido que sus mensajes caían en oídos sordos y que sus presupuestos estaban muy mal financiados”, aseveró Zongo. Por ello, el experto aconsejó que los CISO no se enfoquen solo en lo que puede salir mal: “El miedo refuerza la vieja noción de que la función de seguridad es un costo similar al de los seguros”.

En cambio, se debería pintar un mensaje optimista y edificante sobre el impacto que la ciberseguridad puede tener en el negocio y, en general, en los clientes y en las partes críticas de la organización. Para Chris Hughes, cofundador y CISO de Aquia, “los incidentes pueden tener ramificaciones negativas que van desde daños financieros, regulatorios y de reputación. En ese lugar, hay que cambiar el mensaje para centrarse en permitir que la empresa funcione de forma segura, maximizando su valor”.

Haga de la seguridad un diferenciador

Los CISO que unan todas estas estrategias pueden posicionar la seguridad en su organización como un diferenciador competitivo que respalda a la agilidad y es esencial para la capacidad de la empresa a responder rápidamente. “Ahora, el CISO es la persona que se incorpora para sentar las bases del éxito de una compañía”, dijo James Stanger, jefe de tecnología en CompTIA. “El CISO es estrategia y un facilitador de la extensión del negocio”.

-Mary K. Pratt, CIO.com

Lo Más Reciente

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización...

Los ‘Scam-Yourself Attacks’ aumentan 614% en el tercer trimestre del año: informe

Los 'Scam-Yourself Attacks' o "ataques de estafa”, en los...

Newsletter

Recibe lo último en noticias e información exclusiva.

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por...

“Mejorar la visibilidad en el ecosistema tecnológico, interno y de cara al cliente” : José Armando López Flores, CISO de Crediclub

“Queremos ser esa institución financiera que cubra con las expectativas de los clientes a través de garantizarles que su patrimonio estará seguro”. Con el objetivo...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización en la atención al cliente por medio de la tecnología, PepsiCo México desarrolló a Shopperbot....