De acuerdo con el informe “El rol evolutivo de los CISOs y su importancia para el negocio”, de Ponemon y F5 Networks, se señala que muchos programas de seguridad no están alineados con el negocio, es decir, sólo el 16% de los CISOs cuentan con formación comercial.

Si la seguridad no está alineada con los objetivos comerciales de la organización, ¿existe el programa de seguridad en sí mismo? Si es el caso, ¿cuánta potencia obtendría un programa de seguridad?

Comprendiendo el negocio

Para construir un programa de seguridad que coincida con los objetivos comerciales, primero debe comprenderse el negocio. Uno de los principales métodos es realizando preguntas, no solo sobre la organización sino también sobre el sector industrial.

Asimismo, debe existir una clara comprensión de ésta, principalmente la razón por la que existe. Otro aspecto a considerar es el valor agregado o bien, qué la hace única; quiénes son los clientes y socios clave; qué esperan/quieren y cómo se compara con el sector industrial.

El siguiente paso es comprender cómo los ingresos fluyen. Es decir, conocer si son constantes, cíclicos o están vinculados a las ventas, así como tener claro cómo se pierden ingresos y si existen reservas de efectivo para tiempos difíciles. Esto nos dará la pauta para determinar qué activos son necesarios proteger, por ejemplo:

• ¿Qué queremos mantener en secreto?
• ¿Qué partes de la organización nunca deben ser manipuladas?
• ¿Qué funciones deben continuar?
• ¿Es crítico que el sitio web siempre esté activo?
• ¿Qué necesitan los empleados para hacer su trabajo? ¿Qué información o sistemas necesitan? De no obtenerlo, ¿qué sucede?
• ¿Qué regulaciones se deben cumplir?
• ¿Qué contratos críticos deben efectuarse?

Otro factor imprescindible es estar seguros de comprender los principales desafíos que enfrenta la organización. Como, por ejemplo, el crecimiento, supervivencia, nuevos mercados, cambios en las regulaciones, competencia, reducción de la base de clientes o del presupuesto de la legislatura, etc., sin dejar atrás los procesos organizacionales, lugares físicos y el nivel y uso de tecnología.

Aprender a escuchar con empatía

Un aspecto fundamental para desarrollar la cooperación es poner en práctica la habilidad de escuchar con empatía antes de comenzar a enviar un mensaje a las personas. La mayor parte de las veces escuchamos con el objetivo de entender el punto de vista de la otra persona, con la finalidad de reconocer cómo se siente acerca de la situación. De acuerdo con un artículo en Forbes, Development Dimensions International en su última investigación con más de 15,000 líderes de más de 300 organizaciones en 20 industrias de 18 países, analizó las habilidades conversacionales de los líderes que tuvieron el mayor impacto en el desempeño general, destacando la capacidad de escuchar y responder con empatía.

Escuchar atentamente las quejas y problemas, tanto de la gente como de los usuarios, nos ayudarán a reevaluar la misión de seguridad. Para derribar barreras y silos, es vital alinear las prácticas diarias de los usuarios con la seguridad, así como formular los mensajes de seguridad en el idioma de la cultura organizacional, es decir, brindar a las personas razones comprensibles por las cuales se implementa un proceso de seguridad.

Hablar sobre las amenazas y los impactos

Un factor determinante que pondrá en evidencia la eficiencia de un CISO es explicar el porqué de la implementación de los procesos de seguridad, siendo específicos y detallando el objetivo, en otras palabras, lo que se intenta evitar que suceda y aclarar cómo se controlará el proceso.

Por ejemplo, si explica que los números de seguridad social de los clientes siempre deben estar cifrados, los usuarios pueden informarle cuando los vean a simple vista. De esta forma, puede enfocarse rápidamente en incidentes de seguridad y solucionar problemas.

Otro gran motivador es explicar cómo los incidentes de seguridad afectan directamente la capacidad de la organización para funcionar y cumplir su objetivo comercial. Medir el riesgo en términos de la pérdida de la eficiencia operativa y la capacidad empresarial, es una técnica poderosa, especialmente si se tiene una idea clara de lo que le importa a la organización.

-Raymond Pompon, investigador de Amenazas y especialista en Tecnología en F5 Networks.