Cinco pasos para volverse un líder de ciberseguridad alineado con el negocio.
Un estudio independiente sobre los riesgos para el negocio muestra que cuando el área de seguridad y el área de negocios están alineadas respecto de datos contextuales acordados, proporcionan resultados relevantes y demostrables. A continuación, explicamos cómo lograrlo.
Amigos, la ciberseguridad está en problemas. Los líderes de seguridad están abrumados por la gran cantidad de datos. Podemos decirle cuántas vulnerabilidades hay. Podemos decirle cuántos parches implementamos. Podemos contar todo sobre las últimas amenazas, con lujo de detalles. Sin embargo, con toda esta información a nuestra disposición, la mayoría de nosotros tenemos dificultades para responder con un alto nivel de confianza a la pregunta: ¿Qué tan seguros o, en riesgo, estamos?
¿Por qué? Porque nos falta información clave: el contexto de negocios.
La ecuación típica que utilizamos para calcular el nivel de seguridad o de riesgo de una organización es una función de los activos, los controles de seguridad, las amenazas y las vulnerabilidades. Sin el contexto de negocios —es decir, comprender qué activos son los más críticos para la propuesta de valor principal de su negocio y qué controles de seguridad están en vigor para cada uno de esos activos—, los resultados de cualquier cálculo del riesgo de seguridad son incompletos, en el mejor de los casos.
Pero los líderes de seguridad no pueden llegar a comprender el contexto de negocios trabajando de forma aislada. Se requiere un nivel de alineación estratégica entre los líderes de negocios y de ciberseguridad que no existe en la mayoría de las organizaciones. De hecho, un estudio encomendado por Tenable a Forrester Consulting, muestra una desconexión significativa entre el área de negocios y el área de seguridad. De acuerdo con el estudio, que se basa en una encuesta realizada a 416 ejecutivos de seguridad y a 425 ejecutivos de negocios, sólo el 54 % de los líderes de seguridad y el 42 % de los ejecutivos del área de negocios dijo que sus estrategias de ciberseguridad están completa o estrechamente alineadas con los objetivos del negocio. Menos de la mitad de los líderes de seguridad encuestados dijeron que consultaban con mucha frecuencia a los ejecutivos de negocios cuando desarrollan su estrategia de ciberseguridad. Peor aún, cuatro de cada diez ejecutivos de negocios raramente consultan —si alguna vez lo hacen— a los líderes de seguridad cuando desarrollan las estrategias de negocios de sus organizaciones.
"Es posible que el mayor desafío sea lograr que los propietarios del negocio se interesen y comprendan que deberían ser ellos los responsables de abordar los riesgos de ciberseguridad", dijo José María Labernia Salvador, Director de Seguridad y Control Interno de TI de LafargeHolcim IT EMEA en Madrid, en entrevista con Tenable. "La ciberseguridad es un tema relacionado con el negocio, con un fuerte componente de TI. El Departamento de TI puede apoyar y guiar, pero las partes interesadas del negocio y la alta dirección son un componente central de la ecuación".
El estudio muestra que cuando el área de negocios y el área de seguridad están alineadas, producen resultados demostrables. Por ejemplo, los líderes de seguridad alineados con el negocio presentan las siguientes características:
- Están preparados para informar sobre la seguridad y el riesgo. El líder de seguridad alineado con el negocio tiene ocho veces más probabilidad de tener confianza en su capacidad de informar el nivel de seguridad o de riesgo de su organización, en comparación con sus colegas que trabajan aisladamente.
- Están preparados para mostrar el retorno de la inversión (ROI) de sus iniciativas de seguridad. La gran mayoría de los líderes de seguridad alineados con el negocio (85 %) tiene métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el desempeño del negocio, en comparación con tan solo el 25 % de sus colegas más reactivos y que trabajan aisladamente.
- Cuentan con un proceso definido de evaluación comparativa. Casi nueve de cada diez líderes de seguridad alineados con el negocio (86 %) tienen un proceso que comunica claramente las expectativas y demuestra la mejora continua de los procesos, en relación con otros grupos internos y/o las compañías competidoras. Solo el 32 % de los colegas no alineados pueden decir lo mismo.
Eso no quiere decir que la responsabilidad de lograr la alineación recaiga en el líder de seguridad únicamente. Algunas organizaciones, por su cultura, se inclinan a crear silos. No importa cuánto se esfuerce, si trabaja para una de estas organizaciones, siempre podrá tener dificultades para alinearse con sus colegas del área de negocios.
Si no está seguro de en qué lugar del proceso continuo de la alineación se encuentra su organización, hay una forma rápida de saberlo: si tiene un ejecutivo con el cargo de Director de Seguridad de la Información de Negocios, su organización se encuentra en el extremo más maduro de la escala de alineación. De acuerdo con el estudio de Forrester, la gran mayoría de las organizaciones alineadas con el negocio (80 %) tiene un Director de Seguridad de la Información de Negocios (BISO) o alguien en un cargo similar, en comparación con solo el 35 % de sus competidores menos alineados.
Cómo volverse un líder de ciberseguridad alineado con el negocio
Si tiene la suerte de trabajar en una organización en la que la alineación entre el área de negocios y el área de ciberseguridad ya está relativamente madura, su camino hasta volverse un líder de seguridad alineado con el negocio será bastante despejado, incluso si para recorrerlo necesita un esfuerzo considerable. Sin embargo, si trabaja para una organización en el extremo inferior de la escala de madurez de la alineación, su recorrido será mucho más desafiante. Dado que no hay un abordaje único, adapté las siguientes pautas con tres opciones, en función del nivel de madurez de la alineación, con la esperanza de que una de ellas presente un punto de partida que funcione para usted.
Cinco pasos para mejorar la alineación con los integrantes del área de negocios en cada nivel de madurez de la organización
Paso | Menos alineado | Moderadamente alineado | Muy alineado |
Paso 1: Asegúrese de comprender los objetivos de negocios de su organización para el año. | Lo más probable es que tenga que hacer su propia investigación, recurriendo a documentos públicos, como las proyecciones de ingresos y los estados financieros, para desarrollar un panorama razonablemente claro de las prioridades de la organización. | Este paso puede requerir participar en llamadas con los vicepresidentes de la organización, entrar en sintonía durante las reuniones con todo el personal de su organización y buscar otras formas de integrarse con sus colegas del área de negocios. | Ya tiene, o trabaja para obtener, un lugar en las reuniones semanales organizadas por el personal ejecutivo, y se le pide que se presente ante la junta periódicamente. Estas actividades le permiten conocer directamente los objetivos de negocios clave. |
Paso 2: Considere la forma en que esos objetivos de negocios determinan las decisiones de tecnología. | Es posible que tenga que relacionarse con los colegas de toda la empresa para poder configurar un panorama de sus sistemas y activos más críticos. En particular, preste atención a las interrupciones y a los incidentes para detectar las áreas que se perciben como importantes. | Es posible que deba hacer un poco de trabajo preliminar, organizando llamadas con los vicepresidentes u otros líderes de las diversas líneas de negocios para ponerse al tanto de cuáles son los sistemas que más importan. | Puede realizar una evaluación del impacto en el negocio mediante una encuesta a los principales ejecutivos de negocios, a fin de comprender claramente qué sistemas son los más importantes para el funcionamiento cotidiano de su organización. |
Paso 3: Trabaje con los integrantes del área de negocios para garantizar que sus métricas de ciberseguridad incorporen contexto de negocios. | Es posible que deba recurrir a fuentes externas, como eventos de la industria, casos de estudio o grupos de networking, para desarrollar una visión de conjunto de las necesidades comunes del negocio y las métricas de seguridad clave, y hacer una hipótesis bien fundamentada sobre cuáles son útiles para su organización. | Es posible que no tenga acceso a los altos ejecutivos que puedan ayudarle a definir el contexto de negocios. Deberá relacionarse con los directores o los líderes de las distintas líneas de negocios y consultar a los colegas de la industria, a fin de comprender qué métrica es más lógica para su organización. | Este paso consiste tanto en conocer las preguntas correctas que se deben formular como en identificar un grupo pequeño de métricas que sean las más valiosas para su empresa. |
Paso 4: Priorice sus procesos de ciberseguridad con base en lo que ha aprendido de los pasos anteriores. | Comience evaluando las brechas en su proceso —como la falta de datos sobre criticidad de los activos— y desarrolle una hoja de ruta sobre cómo cerrará cada brecha a lo largo del tiempo. | Puede comenzar por integrar los datos de criticidad de los activos con los datos de amenazas y vulnerabilidades, para avanzar hacia un abordaje que esté más basado en el riesgo. | Haga uso de la automatización y aplique los objetivos de gestión del riesgo para el negocio a las prácticas de priorización de amenazas y vulnerabilidades con un abordaje predictivo. |
Paso 5: Comuníquese empleando evaluaciones comparativas que sean lógicas para los integrantes del área de negocios. | Considere trabajar con asesores externos que le ayuden a desarrollar sus habilidades para hablar en el mismo idioma que el área de negocios. Durante el proceso, es posible que mejore la apreciación que tienen de usted los líderes de negocios por evaluar no solo el riesgo, sino también el negocio en sí. | Es posible que deba confiar en su capacidad de observación; preste atención a la jerga y la forma de hablar de sus colegas del área de negocios, y adapte sus comunicaciones según corresponda. | Incluso en una organización altamente alineada, la subjetividad de los marcos existentes y la falta de consenso en la industria sobre los principales indicadores de riesgo pueden hacer que este paso sea un desafío. Aun así, si ya tiene un alto grado de alineación organizativa, es probable que los altos ejecutivos agradezcan una conversación sincera sobre lo que necesitan saber —y lo que usted puede omitir— en sus informes. |
Fuente: Tenable, septiembre de 2020
Independientemente del lugar del proceso continuo de alineación-madurez en que se encuentre su organización, hará bien en seguir el consejo de Kevin Kerr, CISO de Oak Ridge National Laboratory, TN. En una entrevista con Tenable, Kerr aconsejó: "El CISO debe salir de su oficina y recorrer la compañía. Hablar con las personas. Enterarse de las preocupaciones y los objetivos de las personas en los distintos niveles, desde abajo hasta arriba. Comprender lo que sucede. No escuchar solo a la gente de TI, porque están encerrados en su punto de vista de TI. Ir a ver lo que sucede desde el punto de vista del negocio, y escuchar". Por supuesto, en la actual pandemia de la COVID-19, es posible que deba hacer este recorrido virtualmente. Pero ya sea que se haga cara a cara o a través de Zoom, el esfuerzo beneficiará a su organización y a su carrera. "Hace que se conozca tu nombre", dijo Kerr. "Si la gente sabe que estás ahí para ayudarle a encontrar la mejor manera de hacer lo que desea sin dejar de proteger a la organización, agradecerá tu participación. Nunca quiero ser el 'no' en la palabra 'innovar'".
Volverse un líder de ciberseguridad alineado con el negocio es un maratón, no una carrera de velocidad. Requiere aprender a hablar usando la jerga de negocios y la jerga tecnológica con la misma fluidez. Pero, como señala el estudio de Forrester, "las amenazas modernas a la seguridad requieren un nuevo abordaje". El futuro pertenece a los líderes de seguridad que estén listos para gestionar la ciberseguridad como un riesgo para el negocio.
Lea la serie del blog: Cómo volverse un líder de ciberseguridad alineado con el negocio
Las publicaciones de blog de esta serie se enfocaron en los desafíos de alinear el área de ciberseguridad y el área de negocios y en por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". También examinamos lo que revelan las estrategias de respuesta ante COVID-19 acerca de la desconexión de los negocios cibernéticos, discutimos por qué las métricas existentes de seguridad cibernética se quedan cortas comunicar el riesgo cibernético, exploramos los cinco pasos para lograr la alineación con el negocio y proporcionamos un vistazo hacia un día en la vida del líder de ciberseguridad alineado con el negocio.
Para obtener más información
- Vea los puntos adicionales más destacados del estudio aquí.
- Descargue el estudio completo, El ascenso del ejecutivo de seguridad alineado con el negocio.
- Lea los blogs:
- Alineación de la ciberseguridad y los negocios: nadie dijo que fuera fácil.
- ¿Por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta de "¿qué tan seguros estamos?"?
- Qué nos indican las estrategias de respuesta a la COVID-19 sobre la desconexión entre el área de ciberseguridad y el área de negocios.
- Cómo comunicar el riesgo para el negocio: por qué las métricas de ciberseguridad existentes no son suficientes.
- Descargue el documento técnico, Qué se necesita para ser un ejecutivo de seguridad alineado con los negocios.
- Lea el libro electrónico, Cómo volverse un líder de seguridad alineado con el negocio.
- Escuche la serie de podcasts sobre Cyber Exposure, Entrevista con el CSO de Tenable, Bob Huber.
- Vea el seminario web: El ascenso del ejecutivo de seguridad alineado con el negocio.
Artículos relacionados
- Vulnerability Management