Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

Cinco pasos para volverse un líder de ciberseguridad alineado con el negocio.

Un estudio independiente sobre los riesgos para el negocio muestra que cuando el área de seguridad y el área de negocios están alineadas respecto de datos contextuales acordados, proporcionan resultados relevantes y demostrables. A continuación, explicamos cómo lograrlo.

Amigos, la ciberseguridad está en problemas. Los líderes de seguridad están abrumados por la gran cantidad de datos. Podemos decirle cuántas vulnerabilidades hay. Podemos decirle cuántos parches implementamos. Podemos contar todo sobre las últimas amenazas, con lujo de detalles. Sin embargo, con toda esta información a nuestra disposición, la mayoría de nosotros tenemos dificultades para responder con un alto nivel de confianza a la pregunta: ¿Qué tan seguros o, en riesgo, estamos?

¿Por qué? Porque nos falta información clave: el contexto de negocios.

La ecuación típica que utilizamos para calcular el nivel de seguridad o de riesgo de una organización es una función de los activos, los controles de seguridad, las amenazas y las vulnerabilidades. Sin el contexto de negocios —es decir, comprender qué activos son los más críticos para la propuesta de valor principal de su negocio y qué controles de seguridad están en vigor para cada uno de esos activos—, los resultados de cualquier cálculo del riesgo de seguridad son incompletos, en el mejor de los casos.

Pero los líderes de seguridad no pueden llegar a comprender el contexto de negocios trabajando de forma aislada. Se requiere un nivel de alineación estratégica entre los líderes de negocios y de ciberseguridad que no existe en la mayoría de las organizaciones. De hecho, un estudio encomendado por Tenable a Forrester Consulting, muestra una desconexión significativa entre el área de negocios y el área de seguridad. De acuerdo con el estudio, que se basa en una encuesta realizada a 416 ejecutivos de seguridad y a 425 ejecutivos de negocios, sólo el 54 % de los líderes de seguridad y el 42 % de los ejecutivos del área de negocios dijo que sus estrategias de ciberseguridad están completa o estrechamente alineadas con los objetivos del negocio. Menos de la mitad de los líderes de seguridad encuestados dijeron que consultaban con mucha frecuencia a los ejecutivos de negocios cuando desarrollan su estrategia de ciberseguridad. Peor aún, cuatro de cada diez ejecutivos de negocios raramente consultan —si alguna vez lo hacen— a los líderes de seguridad cuando desarrollan las estrategias de negocios de sus organizaciones.

"Es posible que el mayor desafío sea lograr que los propietarios del negocio se interesen y comprendan que deberían ser ellos los responsables de abordar los riesgos de ciberseguridad", dijo José María Labernia Salvador, Director de Seguridad y Control Interno de TI de LafargeHolcim IT EMEA en Madrid, en entrevista con Tenable. "La ciberseguridad es un tema relacionado con el negocio, con un fuerte componente de TI. El Departamento de TI puede apoyar y guiar, pero las partes interesadas del negocio y la alta dirección son un componente central de la ecuación".

El estudio muestra que cuando el área de negocios y el área de seguridad están alineadas, producen resultados demostrables. Por ejemplo, los líderes de seguridad alineados con el negocio presentan las siguientes características:

  • Están preparados para informar sobre la seguridad y el riesgo. El líder de seguridad alineado con el negocio tiene ocho veces más probabilidad de tener confianza en su capacidad de informar el nivel de seguridad o de riesgo de su organización, en comparación con sus colegas que trabajan aisladamente.
  • Están preparados para mostrar el retorno de la inversión (ROI) de sus iniciativas de seguridad. La gran mayoría de los líderes de seguridad alineados con el negocio (85 %) tiene métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el desempeño del negocio, en comparación con tan solo el 25 % de sus colegas más reactivos y que trabajan aisladamente.
  • Cuentan con un proceso definido de evaluación comparativa. Casi nueve de cada diez líderes de seguridad alineados con el negocio (86 %) tienen un proceso que comunica claramente las expectativas y demuestra la mejora continua de los procesos, en relación con otros grupos internos y/o las compañías competidoras. Solo el 32 % de los colegas no alineados pueden decir lo mismo.

Eso no quiere decir que la responsabilidad de lograr la alineación recaiga en el líder de seguridad únicamente. Algunas organizaciones, por su cultura, se inclinan a crear silos. No importa cuánto se esfuerce, si trabaja para una de estas organizaciones, siempre podrá tener dificultades para alinearse con sus colegas del área de negocios.

Si no está seguro de en qué lugar del proceso continuo de la alineación se encuentra su organización, hay una forma rápida de saberlo: si tiene un ejecutivo con el cargo de Director de Seguridad de la Información de Negocios, su organización se encuentra en el extremo más maduro de la escala de alineación. De acuerdo con el estudio de Forrester, la gran mayoría de las organizaciones alineadas con el negocio (80 %) tiene un Director de Seguridad de la Información de Negocios (BISO) o alguien en un cargo similar, en comparación con solo el 35 % de sus competidores menos alineados.

Cómo volverse un líder de ciberseguridad alineado con el negocio

Si tiene la suerte de trabajar en una organización en la que la alineación entre el área de negocios y el área de ciberseguridad ya está relativamente madura, su camino hasta volverse un líder de seguridad alineado con el negocio será bastante despejado, incluso si para recorrerlo necesita un esfuerzo considerable. Sin embargo, si trabaja para una organización en el extremo inferior de la escala de madurez de la alineación, su recorrido será mucho más desafiante. Dado que no hay un abordaje único, adapté las siguientes pautas con tres opciones, en función del nivel de madurez de la alineación, con la esperanza de que una de ellas presente un punto de partida que funcione para usted.

Cinco pasos para mejorar la alineación con los integrantes del área de negocios en cada nivel de madurez de la organización

Paso Menos alineado Moderadamente alineado Muy alineado
Paso 1: Asegúrese de comprender los objetivos de negocios de su organización para el año. Lo más probable es que tenga que hacer su propia investigación, recurriendo a documentos públicos, como las proyecciones de ingresos y los estados financieros, para desarrollar un panorama razonablemente claro de las prioridades de la organización. Este paso puede requerir participar en llamadas con los vicepresidentes de la organización, entrar en sintonía durante las reuniones con todo el personal de su organización y buscar otras formas de integrarse con sus colegas del área de negocios. Ya tiene, o trabaja para obtener, un lugar en las reuniones semanales organizadas por el personal ejecutivo, y se le pide que se presente ante la junta periódicamente. Estas actividades le permiten conocer directamente los objetivos de negocios clave.
Paso 2: Considere la forma en que esos objetivos de negocios determinan las decisiones de tecnología. Es posible que tenga que relacionarse con los colegas de toda la empresa para poder configurar un panorama de sus sistemas y activos más críticos. En particular, preste atención a las interrupciones y a los incidentes para detectar las áreas que se perciben como importantes. Es posible que deba hacer un poco de trabajo preliminar, organizando llamadas con los vicepresidentes u otros líderes de las diversas líneas de negocios para ponerse al tanto de cuáles son los sistemas que más importan. Puede realizar una evaluación del impacto en el negocio mediante una encuesta a los principales ejecutivos de negocios, a fin de comprender claramente qué sistemas son los más importantes para el funcionamiento cotidiano de su organización.
Paso 3: Trabaje con los integrantes del área de negocios para garantizar que sus métricas de ciberseguridad incorporen contexto de negocios. Es posible que deba recurrir a fuentes externas, como eventos de la industria, casos de estudio o grupos de networking, para desarrollar una visión de conjunto de las necesidades comunes del negocio y las métricas de seguridad clave, y hacer una hipótesis bien fundamentada sobre cuáles son útiles para su organización. Es posible que no tenga acceso a los altos ejecutivos que puedan ayudarle a definir el contexto de negocios. Deberá relacionarse con los directores o los líderes de las distintas líneas de negocios y consultar a los colegas de la industria, a fin de comprender qué métrica es más lógica para su organización. Este paso consiste tanto en conocer las preguntas correctas que se deben formular como en identificar un grupo pequeño de métricas que sean las más valiosas para su empresa.
Paso 4: Priorice sus procesos de ciberseguridad con base en lo que ha aprendido de los pasos anteriores. Comience evaluando las brechas en su proceso —como la falta de datos sobre criticidad de los activos— y desarrolle una hoja de ruta sobre cómo cerrará cada brecha a lo largo del tiempo. Puede comenzar por integrar los datos de criticidad de los activos con los datos de amenazas y vulnerabilidades, para avanzar hacia un abordaje que esté más basado en el riesgo. Haga uso de la automatización y aplique los objetivos de gestión del riesgo para el negocio a las prácticas de priorización de amenazas y vulnerabilidades con un abordaje predictivo.
Paso 5: Comuníquese empleando evaluaciones comparativas que sean lógicas para los integrantes del área de negocios. Considere trabajar con asesores externos que le ayuden a desarrollar sus habilidades para hablar en el mismo idioma que el área de negocios. Durante el proceso, es posible que mejore la apreciación que tienen de usted los líderes de negocios por evaluar no solo el riesgo, sino también el negocio en sí. Es posible que deba confiar en su capacidad de observación; preste atención a la jerga y la forma de hablar de sus colegas del área de negocios, y adapte sus comunicaciones según corresponda. Incluso en una organización altamente alineada, la subjetividad de los marcos existentes y la falta de consenso en la industria sobre los principales indicadores de riesgo pueden hacer que este paso sea un desafío. Aun así, si ya tiene un alto grado de alineación organizativa, es probable que los altos ejecutivos agradezcan una conversación sincera sobre lo que necesitan saber —y lo que usted puede omitir— en sus informes.

Fuente: Tenable, septiembre de 2020

Independientemente del lugar del proceso continuo de alineación-madurez en que se encuentre su organización, hará bien en seguir el consejo de Kevin Kerr, CISO de Oak Ridge National Laboratory, TN. En una entrevista con Tenable, Kerr aconsejó: "El CISO debe salir de su oficina y recorrer la compañía. Hablar con las personas. Enterarse de las preocupaciones y los objetivos de las personas en los distintos niveles, desde abajo hasta arriba. Comprender lo que sucede. No escuchar solo a la gente de TI, porque están encerrados en su punto de vista de TI. Ir a ver lo que sucede desde el punto de vista del negocio, y escuchar". Por supuesto, en la actual pandemia de la COVID-19, es posible que deba hacer este recorrido virtualmente. Pero ya sea que se haga cara a cara o a través de Zoom, el esfuerzo beneficiará a su organización y a su carrera. "Hace que se conozca tu nombre", dijo Kerr. "Si la gente sabe que estás ahí para ayudarle a encontrar la mejor manera de hacer lo que desea sin dejar de proteger a la organización, agradecerá tu participación. Nunca quiero ser el 'no' en la palabra 'innovar'".

Volverse un líder de ciberseguridad alineado con el negocio es un maratón, no una carrera de velocidad. Requiere aprender a hablar usando la jerga de negocios y la jerga tecnológica con la misma fluidez. Pero, como señala el estudio de Forrester, "las amenazas modernas a la seguridad requieren un nuevo abordaje". El futuro pertenece a los líderes de seguridad que estén listos para gestionar la ciberseguridad como un riesgo para el negocio.

Lea la serie del blog: Cómo volverse un líder de ciberseguridad alineado con el negocio

Las publicaciones de blog de esta serie se enfocaron en los desafíos de alinear el área de ciberseguridad y el área de negocios y en por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". También examinamos lo que revelan las estrategias de respuesta ante COVID-19 acerca de la desconexión de los negocios cibernéticos, discutimos por qué las métricas existentes de seguridad cibernética se quedan cortas comunicar el riesgo cibernético, exploramos los cinco pasos para lograr la alineación con el negocio y proporcionamos un vistazo hacia un día en la vida del líder de ciberseguridad alineado con el negocio.

Para obtener más información

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de acceso completo a nuestra última oferta de escaneo de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar el riesgo cibernético.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo escaneo de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de escaneo de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación