Lleve la conversación más allá de lo tecnológico y apuesta por una estrategia que ponga en valor la ciberseguridad
Cree valor para la empresa abordando la ciberseguridad como una decisión empresarial
Para enmarcar la ciberseguridad en un contexto empresarial, pase de evaluar amenazas a gestionar los niveles de protección.
Paso n.º 1: reformule la conversación
- Operaciones empresariales. ¿Qué decisiones pondrÃan a la organización en mayor riesgo?
- Exigencias normativas. ¿Qué acuerdos de nivel de protección (PLA) son aceptables para los reguladores?
- Accionistas. ¿Estarán satisfechos los clientes y accionistas con las decisiones sobre ciberseguridad que tome la organización? ¿Está el CEO listo para defender esas decisiones?
- Socios. ¿Será suficiente el nivel de protección de la organización para satisfacer los requisitos de sus socios?
- Elegibilidad para el seguro cibernético. Los seguros cibernéticos son cada vez más caros y exigen requisitos más estrictos. ¿Será suficiente el nivel de protección de la organización para cumplir estos requisitos?
- Análisis comparativos. ¿Cómo se compararán los niveles de protección con los de otras organizaciones?
- Impacto empresarial observable. ¿Cuánto tiempo de inactividad o pérdidas materiales están causando los incidentes de seguridad? ¿Cómo puede cambiar esta situación un PLA más fuerte o más débil?
Paso n.º 2: elija indicadores orientados a resultados (ODM)
- Definir los resultados asociados al nivel de protección del control. Cree una descripción sencilla del rendimiento operativo y de los beneficios de protección deseados. Incluya los beneficios de contar con una protección mayor o menor, y cómo la inversión directa puede influir en el resultado.
- Describir las concesiones entre palancas de valor. Para cada control, describa la relación entre costo (inversión) y valor (nivel de protección). Una mejor protección (menos riesgo) suele ser más cara.
- Definir los resultados esperados. Describir las medidas de impacto para la empresa.
- Optimizar los resultados en un contexto empresarial. Mida los ODM en relación con las tecnologÃas que respaldan cada unidad de negocio, función operativa o departamento que genere resultados empresariales para la organización.
Paso n.º 3: cres PLA con ODM
Un acuerdo de nivel de protección (PLA, por sus siglas en inglés) es la decisión empresarial de invertir en un nivel medible de protección a un costo definido. Los PLA redefinen la naturaleza del éxito y del fracaso en ciberseguridad. Si se produce un incidente de seguridad dentro de las tolerancias definidas en el PLA, dicho incidente se considera el resultado de una decisión empresarial, no de un fallo de control. Los ejecutivos pueden no participar directamente en los ODM de un PLA, pero los aprueban y son responsables de los ODM y PLA que se alinean con los resultados empresariales. El costo es clave a la hora de seleccionar los niveles de protección; los ejercicios de asignación de costos de los CIO deben ser lo suficientemente rigurosos como para garantizar una representación creÃble y defendible de los costos, que respalde una toma de decisiones acertada. Una vez que la organización puede medir los resultados de seguridad y alinearlos con las distintas áreas del negocio, puede desarrollar PLA estableciendo objetivos para los ODM y determinando los costes necesarios para alcanzarlos. Si la organización no alcanza los niveles de protección deseados, puede invertir más dinero para cumplir con su PLA, o bien ahorrarlo y ajustar el PLA a un nivel que pueda permitirse. Paso n.º 4: utilice el modelo CARE como un punto de referencia realista
El marco CARE orienta las inversiones en ciberseguridad de las organizaciones y garantiza que sigan siendo coherentes, adecuadas, razonables y eficaces. Este enfoque ayuda a los ejecutivos a honrar su responsabilidad fiduciaria de proteger la organización, respondiendo de manera continua a las preguntas que surgen. - ¿Cuándo se considera que la ciberseguridad está completa? Nunca está completa; se considera estable cuando la organización ha definido y está ejecutando controles para alcanzar los niveles de protección deseados.
- ¿Cuál es el nivel adecuado de ciberseguridad? La ciberseguridad es una elección; la organización decide el grado de protección que se ajusta a las necesidades de las partes interesadas clave.
- ¿Cuánto debe invertir el CIO en ciberseguridad? La inversión está determinada por los niveles de protección que la organización haya elegido. Si la organización alcanza estos niveles, el costo está alineado con el rendimiento logrado.
- ¿Qué debe comunicar el CIO al consejo de administración? El CIO debe reportar periódicamente los ODM al consejo de administración y comunicar cualquier modificación en los PLA.
- ¿En qué medida está protegida la organización? Con los ODM, las partes interesadas siempre tienen visibilidad directa sobre el nivel de protección de la organización.
– Información Gartner
