Contar a la junta de administración de nuestra empresa historias de terror, no es nada efectivo (si es que alguna vez lo fue…). En este punto, y con la cantidad de noticias sobre hackeos que seguramente leen diariamente, el alarmarlos continuamente, no logrará que aprueben una inversión para mejorar la seguridad. No así.

Por mucho que nos quejamos de que los ejecutivos y las juntas de administración no comprenden realmente la ciberseguridad, seguimos presentando diapositivas altamente técnicas que los confunden y causan el efecto contrario a lo que buscamos: mejorar la seguridad de la organización. Esto tiene que cambiar. Necesitamos tiempo para entender sus prioridades y comunicarnos estratégicamente desde una perspectiva de riesgo comercial y financiero, no sólo tácticamente o con un punto de vista limitado a nuestras propias necesidades de proyectos y departamentos.

La mayoría de los CISO están llegando a la conclusión de que el riesgo de ciberseguridad tiene que ser enmarcado en un lenguaje que los CEOs, CFOs y juntas de administración puedan entender y en consecuencia actuar.

Claro, esto incluye dejar de lado la jerga computacional, pero el verdadero valor vendrá de calcular y comunicar con precisión lo que está en riesgo y alinear sus esfuerzos con los objetivos estratégicos generales de la organización.

No hace daño establecer un poco de conciencia situacional a las necesidades estratégicas de la organización. Por ejemplo, podría no ser la mejor idea solicitar fondos para una aplicación anti-phishing (una que trucos a los empleados a hacer clic en correos electrónicos falsos y las averías en cumplimiento con las políticas y procedimientos de seguridad) cuando el siguiente punto en la agenda de la junta es revertir la baja moral de los empleados.

También tenemos que corresponder al hacer un mejor trabajo de entender las prioridades del nivel C y de la junta de administración y comunicarnos estratégicamente. Los CISOs que rompen barreras y lo llevan a cabo de manera efectiva, tendrán mucho más éxito y tendrán menos probabilidades de que sus organizaciones terminen expuestos en el “muro de la vergüenza de los medios”. Algunas recomendaciones:

1. Diseñar un mensaje que sea claro, conciso y con un lenguaje entendible.
2. Identificar las prioridades y expectativas de ejecutivos de nivel C y miembros de la junta de administración.
3. Justificar de manera estructurada los riesgos en materia de seguridad informática.
4. Proponer una resolución que proteja la inversión existente en seguridad y prolongue la vida de las aplicaciones existentes.
5. Presentar un plan de medición, alertamiento y remediación en caso de existir amenazas a los datos o a la infraestructura critica.

La privacidad y la seguridad deben ser integradas no sólo en cada sistema sino en cada decisión de negocios

Los CISOs entienden que el ataque informático a Target fue el resultado de credenciales de acceso de terceros que fueron comprometidos y que dieron como resultado, que ejecutivos seniors perdieran sus trabajos. El sector Retail tiene una complejidad adicional en el manejo de end points no tradicionales como las cajas registradoras y los dispositivos portátiles de rastreo de inventario; sin embargo, eso no tiene comparación con lo que enfrentan otros sectores como el de la salud.

The Internet of Medical Things es una realidad, está aquí y no es muy seguro que digamos. En 2016, Stephanie Jernigan, profesora asistente del departamento de administración de operaciones en el Boston College, dictó una ponencia interesante titulada: “Listos o no, ahí viene el Internet de las cosas”, una postura no sólo que está haciendo voltear a los que nos dedicamos a esto, sino a ejecutivos, médicos, instituciones y gobiernos a buscar la eficiencia a través de esta tendencia tecnológica que potencialmente promete un paso gigante para la atención médica, pero que, de llevarse irresponsablemente o sin la capacidad técnica para proteger los datos críticos de pacientes, puede derivar en una tragedia que nadie quiere presenciar.

De acuerdo a datos obtenidos del estudio MIT Sloan Management Review on IoT, se confirmó mucho de lo que pensamos sobre el IoT en el sector salud, también nos proveyó de nuevos datos duros. Se encontró que las organizaciones con sólidas infraestructuras de análisis y habilidades, eran más capaces de aprovechar las inversiones en IoT. Los dispositivos que caen bajo la categoría de Internet de las Cosas Médicas son más fáciles de atacar porque son más físicamente y digitalmente accesibles. Esto es especialmente cierto con los dispositivos portátiles que salen del hospital con el paciente.

Otro hallazgo inquietante mostró que, “A pesar de estas cuestiones, el 76% de los encuestados consideraron que no necesitaban mejorar la seguridad de sus datos de sensores y el 68% sintieron que no necesitaban mejorar su seguridad general de los datos”. Preocupante ya que el estudio también reveló que a medida que la capacidad analítica mejora, también lo hace el éxito general en términos tanto de los resultados de los pacientes como de la postura general de seguridad.

_____________

El autor de este artículo, Carlos Perea, es Vicepresidente de Ventas para Latinoamérica de Gigamon