El COVID-19 ha dejado al descubierto la desconexión entre los líderes de seguridad y el negocio. En el actual clima de incertidumbre en nuestro país, los negocios digitales requieren una nueva forma de medir y gestionar el ciberriesgo como riesgo estratégico del negocio. Para lograr esto, los líderes de seguridad deben madurar los programas de ciberseguridad para alinearse con los objetivos del negocio.
Según el estudio El Ascenso del Ejecutivo de Seguridad Alineado con el negocio, enfocado a México, realizado por Forrester Consulting a petición de Tenable, menos del 50% de los líderes de seguridad en las organizaciones mexicanas consideran el impacto de las amenazas de ciberseguridad en el contexto de un riesgo específico del negocio.
“Las estrategias de seguridad reactivas, de madurez temprana y menos alineadas dificultan que los líderes de seguridad obtengan una imagen clara de la postura de seguridad de sus organizaciones para comprender qué amenazas representan el mayor riesgo para la empresa. Aún más preocupante, cuando las estrategias de ciberseguridad están desconectadas de los objetivos del negocio, el mensaje de riesgo a menudo se pierde en el camino”, comentó Luis Fornelli, Country Manager de Tenable en México.
Según el estudio, aunque el 95% de los encuestados en México dijeron que sus organizaciones han desarrollado estrategias de respuesta al COVID-19, el 79% dijo que estas estrategias están, en el mejor de los casos, sólo “algo” alineadas.
Debido a la repentina digitalización que muchas empresas tuvieron que emprender en medio de la pandemia global, se requiere un nivel de alineación estratégica entre los líderes del negocio y de seguridad para proteger las iniciativas digitales del riesgo cibernético durante el 2021.
Tenable y Forrester han identificado tres niveles de madurez para alinear los objetivos entre los líderes de seguridad y sus contrapartes del negocio. Esta guía permite a las organizaciones comprender dónde se encuentran actualmente, con el fin de mejorar las estrategias de ciberseguridad y garantizar una comprensión universal de los objetivos del negocio.
● Menos alineado: las iniciativas de ciberseguridad están aisladas y rara vez se alinean con los objetivos del negocio. Debido a que la estrategia de seguridad está desconectada de los objetivos del negocio, las actividades de seguridad tienden a ser de naturaleza reactiva y el mensaje de riesgo a menudo se pierde en la comunicación.
● Moderadamente alineado: las organizaciones de seguridad utilizan la tecnología para obtener inicialmente una evaluación holística de los activos críticos de la organización y la superficie de ataque, así como para automatizar el descubrimiento continuo de activos y la gestión de vulnerabilidades. Pero las métricas de desempeño son de naturaleza técnica y, por lo tanto, los líderes del negocio no las comprenden bien.
● Altamente alineado: las organizaciones de seguridad están alineadas con el negocio para hacer coincidir los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio. La organización de seguridad revisa periódicamente sus métricas de desempeño con las partes interesadas del negocio para asegurarse de que brinden resultados significativos y demostrables.
Con respecto a los beneficios de la alineación del negocio y de seguridad, Luis Fornelli señaló que el estudio muestra que los líderes de seguridad alineados con el negocio tienen ocho veces más probabilidades que sus pares, que trabajan de manera aislada, de tener una gran confianza en su capacidad para informar sobre el nivel de seguridad o riesgo de sus organizaciones. También superan a sus homólogos más reactivos y aislados en la automatización de procesos clave de evaluación de vulnerabilidades por márgenes de +49 y +66 puntos porcentuales. Asimismo el estudio destacó que el 85% de los líderes de seguridad alineados con el negocio cuenta con métricas para monitorear el retorno de la inversión en ciberseguridad y el impacto en el rendimiento del negocio en comparación con solo el 25% de sus pares más reactivos y aislados.
Finalmente, Luis Fornelli dijo que para lograr la alineación, los CISO y otros líderes de seguridad necesitan la combinación correcta de tecnología, datos, procesos y personas. “Los líderes de seguridad deben alinear sus estrategias de ciberseguridad con los objetivos y prioridades del negocio para evolucionar desde el antiguo enfoque reactivo y aislado de ‘detectar, proteger y defender’, a una estrategia que empodere a la seguridad y al negocio para adoptar una visión ofensiva del riesgo de ciberseguridad y alinearlo con las decisiones del negocio”, concluyó el directivo.