Un día en la vida de un líder de ciberseguridad alineado con el negocio

El futuro pertenece a los líderes de ciberseguridad que puedan alinear sus objetivos con la comprensión del riesgo para el negocio. A continuación, presentamos ocho acciones cotidianas que puede realizar para lograrlo.

Hace veinte años que trabajo en el área de ciberseguridad. Estuve en el área técnica, realizando pruebas de penetración y análisis de malware. Dirigí programas de detección de intrusiones y centros de operaciones de seguridad, y era responsable de sus políticas y del cumplimiento. En mi puesto actual en Tenable, gestiono las relaciones con los proveedores de 40 herramientas de seguridad y puedo decir, con bastantes detalles, qué hace cada una de esas herramientas a diario y cómo funciona. Puedo proporcionar una lista de todas las vulnerabilidades a las que les hemos colocado parches, y en qué sistemas, en los últimos 30 días. Pero cada vez que hablo con los altos ejecutivos de negocios y con la junta —en mi puesto actual o en organizaciones anteriores—, nada de eso importa.

A final de cuentas, siempre me hacen la misma pregunta: "¿Qué tan seguros, o en riesgo, estamos?". Y durante 20 años, siempre ha sido difícil dar una respuesta bien fundamentada. 

A principios de este año, Tenable encomendó a Forrester Consulting un estudio de más de 800 líderes de negocios y de ciberseguridad en todo el mundo para averiguar por qué. Se resume en esto: existe una desconexión crónica entre el área de ciberseguridad y el área de negocios, que se ve agravada por las limitaciones de la tecnología, los procesos y los datos de que disponen los líderes de seguridad.

Pero estaríamos equivocados si no consideráramos también los factores humanos que están en el centro de esa desconexión.

Los negocios como segundo idioma

Los CISO y otros líderes de ciberseguridad son participantes singulares entre los altos ejecutivos. Debemos comunicarnos con la misma fluidez, tanto en la jerga de tecnología como en la de negocios. Sin embargo, a diferencia de nuestros colegas del área de finanzas o de ventas —que pueden tener una maestría en negocios u otra formación similar—, muchos líderes de ciberseguridad tenemos una formación técnica, como una licenciatura en Ciencias de la Computación. Por lo general, ocupamos puestos técnicos cuando ascendemos en la jerarquía de una organización. Esto nos pone en una desventaja inmediata cuando, finalmente, somos altos ejecutivos o llegamos a la alta dirección. 

La tecnología es nuestro "idioma materno". Y las herramientas y los procesos que utilizamos se basan en el idioma de la tecnología, lo que produce resultados que podemos comunicar claramente en nuestra "lengua materna". La mayoría de nosotros aprendimos a hablar bastante bien el lenguaje de los negocios "como segundo idioma", pero sigue habiendo una desconexión, en parte, porque las herramientas y los marcos que necesitamos para cumplir con nuestros trabajos no se prestan a una traducción fácil.

"Es saber cómo traducir muchas de las cosas que encontramos desde la perspectiva de la seguridad, y relacionarlas con el negocio", dijo Rick Vadgama, Vicepresidente y CISO de una plataforma global de viajes en línea, en una entrevista con Tenable. "Hay muchos profesionales de InfoSec que, sin dudas, comprenden qué son las vulnerabilidades o los exploits, pero no saben cómo traducir eso para que un ejecutivo de negocios común pueda entenderlo. No saben cómo hacer que sea fácil de comprender".

Vadgama, que se especializó en Finanzas y Contabilidad en la universidad y desempeñó funciones de negocios al principio de su carrera, antes de darse cuenta de que no era su vocación y cambiarse al área de TI, dijo que la diversidad de su experiencia lo ayudó en su rol actual. "Comprendo la dimensión del negocio. Comprendo las finanzas. Y posteriormente, dado que ascendí en la jerarquía de los puestos de TI y trabajé en varias funciones —entre ellas, Director de TI, responsable de redes y responsable de grupos de desarrollo—, también tengo información sobre el contexto de esas funciones. Así que, cuando comencé a trabajar en el área de seguridad, ya tenía esa información y esos conocimientos, sé cómo crear puentes entre los integrantes del área técnica y los integrantes del área de negocios".

Para los líderes de ciberseguridad que ascendieron en la jerarquía de los puestos técnicos, Vadgama tiene este consejo: "Deje el ámbito de la seguridad y trabaje en puestos diferentes por un tiempo, para ubicarse en el contexto de cómo dirigir un negocio o grupo, y posteriormente, vuelva a InfoSec".

Es el pan nuestro de cada día

Un documento de SANS Institute publicado hace mucho tiempo, en 2003, expresó claramente los desafíos, que siguen vigentes hasta hoy: "Las responsabilidades [del CISO] son diferentes a las de cualquier otro alto ejecutivo; ni siquiera los CIO tienen este alcance".

El documento de SANS detalla las siguientes como las responsabilidades más importantes que tienen la mayoría de los CISO: 

• Actuar como representante de la organización en lo que respecta a las consultas de clientes, socios y público en general sobre la estrategia de seguridad de la organización.
• Actuar como representante de la organización en el trato con los organismos de orden público y, a la vez, buscar los orígenes de los ataques a las redes y del robo de información por parte de los empleados.
• Equilibrar las necesidades de seguridad con el plan de negocios estratégico de la organización, identificar los factores de riesgo y determinar soluciones para ambos.
• Desarrollar políticas y procedimientos de seguridad que proporcionen una protección adecuada de las aplicaciones de negocios, sin interferir en los requisitos del negocio principal.
• Planificar y probar las respuestas a las filtraciones de datos, incluyendo la posibilidad de hablar sobre el evento con clientes, socios o el público en general.
• Supervisar la selección, las pruebas, la implementación y el mantenimiento de los productos de hardware y software de seguridad, así como también los acuerdos de subcontratación.
• Supervisar un grupo de empleados responsables de la seguridad de la organización, desde los técnicos de red que gestionan dispositivos de firewall hasta los guardias de seguridad.

Dado el amplio alcance del puesto, puede ser difícil saber dónde priorizar el tiempo en un día típico. La mayoría de nosotros preferiría mantenerse en la zona de confort técnica, representada por los últimos tres puntos anteriores, y pasar nuestros días planificando la respuesta ante incidentes y supervisando las operaciones diseñadas para minimizar su probabilidad. 

Pero quedarse en nuestra zona de confort no hace que ninguno de nosotros esté más seguro. De acuerdo con el estudio de Forrester, El ascenso del ejecutivo de seguridad alineado con el negocio, el 94 % de las organizaciones sufrió un ataque cibernético con impacto en el negocio en los últimos doce meses, que provocó, al menos, uno de los siguientes hechos: pérdida de datos confidenciales, de clientes o de empleados; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto y/o robo de propiedad intelectual. Y la gran mayoría de los encuestados (77 %) prevé que los ataques cibernéticos aumentarán en los próximos dos años.

El estudio también revela que el 66 % de los líderes de negocios —como mucho— confía parcialmente en la capacidad de su equipo de seguridad para cuantificar el nivel de riesgo o de seguridad en su organización. 

Cómo volverse un líder de seguridad alineado con el negocio: 8 pasos

Está claro que algo tiene que cambiar. Como líderes de seguridad, debemos encontrar formas de mejorar nuestra alineación con el negocio. Y eso requiere esfuerzo, todos los días. Usted debe estar consciente de cómo prioriza su tiempo, para asegurarse de que haya estructurado sus operaciones de forma tal, que le permita tener tiempo suficiente para enfocarse en la alineación con el negocio.

"Lo más importante para convertirse en un líder de ciberseguridad alineado con el negocio es aportar valor al negocio y crear un ciclo de colaboración de copropiedad", dijo José María Labernia Salvador, Director de Seguridad y Control Interno de TI de LafargeHolcim IT EMEA en Madrid, en una entrevista con Tenable. "La misión y la visión también son muy importantes para llegar a un acuerdo con el negocio, y es necesario establecer una relación de socios, de confianza, para asegurarse de que exista un canal directo de comunicación".

Según Vadgama, es clave hacer el esfuerzo de construir relaciones de confianza en toda la organización. En su empresa actual, la posibilidad de participar en el comité de privacidad de la organización le dio la oportunidad de colaborar con los líderes del equipo legal, así como también con los líderes de gestión e ingeniería de productos, entre otros departamentos. Pero incluso sin un comité formal, es posible comunicarse y conectarse a lo largo de toda la organización.

"No se trata de reunirse solamente con el equipo de TI", dijo Vadgama. "También implica reunirse con los departamentos de ingeniería, marketing, ventas, etcétera, y establecer esas relaciones. De esa manera, cuando encontramos algo que estos equipos necesitan abordar y yo me presento a la puerta de su oficina, ellos me dicen: 'Está bien. Sí, sabemos que tenemos que encargarnos de esto'". 

A continuación, presentamos ocho prácticas que puede incorporar a su día a día, y que lo conducirán al camino hacia un futuro alineado con el negocio:

1. Dedique tiempo, todos los días, a revisar los documentos públicos de su compañía. Preste atención a lo que comunican los ejecutivos de su organización a través de los estados financieros, comunicados de prensa, artículos de noticias, sitios de redes sociales y foros de la industria.
2. Agende una llamada con los ejecutivos de las diversas líneas de negocios para comprender cuáles son sus desafíos cotidianos y construir una relación. Sepa cómo se mide su desempeño. Ayúdelos a ver la seguridad como un facilitador para sus necesidades de negocios, en lugar de un impedimento. De esta manera, es más probable que lo involucren antes en sus planes estratégicos.
3. Desarrolle un conocimiento práctico de las prioridades y los desafíos a los que se enfrentan las organizaciones de su sector de la industria. Únase a asociaciones del gremio o a otras organizaciones profesionales, lea artículos de negocios en revistas del gremio, asista a seminarios web y a otros eventos de la industria. Al hacerlo, obtendrá vocabulario de trabajo y perspectivas importantes que le ayudarán a alinear mejor sus iniciativas de seguridad con las necesidades de negocios propias de su organización.
4. Agende consultas periódicas con los altos ejecutivos y aproveche el tiempo para enterarse de cuáles son sus mayores preocupaciones. Solo comprendiendo los puntos débiles del negocio, en términos más amplios, se puede comenzar a desarrollar una comprensión integral de lo que el "riesgo" significa realmente para su organización.
5. Use las revisiones trimestrales del negocio como una excelente oportunidad de aprendizaje. Escuche atentamente las prioridades estratégicas y los puntos débiles expresados por sus colegas y considere los factores externos al negocio que influyen en ellos. Preste atención a la forma en que cada ejecutivo demuestra el retorno de sus inversiones de negocios, y encuentre formas de adaptar su propia métrica del ROI de seguridad en consecuencia.
6. Cree una red de asesores de negocios de confianza. Contrate mentores de todo el espectro de negocios para proporcionarle orientación y asesoría, y que le ayuden a perfeccionar sus comunicaciones, a fin de que sean más fáciles de entender para el área de negocios.
7. Establezca relaciones con los profesionales de riesgo de su organización. La ciberseguridad es tanto un riesgo, en sí misma, como un factor importante en todas las demás conversaciones acerca de los riesgos para el negocio. Descubra cómo puede participar de forma eficaz en el desarrollo de estrategias de gestión de riesgo empresarial que mantengan la ciberseguridad en primer plano.
8. Preste atención a las relaciones con terceros que se producen a lo largo de toda la organización. Es posible que usted ya tenga un conocimiento práctico de las relaciones clave, como los proveedores de servicios de procesamiento de la nómina o de planificación de recursos empresariales. Pero ¿cuánta visibilidad tiene hacia las herramientas y las plataformas utilizadas por el equipo responsable del sitio web o los contratistas de servicio y soporte que mantienen y atienden la tecnología operativa de su organización?

Encontrar tiempo para todo lo anterior, además de desempeñar todos los otros aspectos de su función de manera eficaz, puede parecer una propuesta abrumadora. No podrá hacer todo a la vez. Elija uno o dos aspectos que tengan las mayores repercusiones para usted, y comience allí.

Un abordaje, dijo Labernia, es "comenzar por arriba. Los líderes de negocios tienden a estar muy abiertos a hablar con nosotros, una vez que comprenden la complejidad y los riesgos de la situación actual de la ciberseguridad. Posteriormente, puede acercarse de forma progresiva a otras áreas clave de la organización. Intente cambiar el abordaje común de decir "NO" a decir "LO SÉ". Siempre se puede encontrar una manera de dirigir el negocio de forma segura una vez que se comprenden los objetivos".

Al tomar la decisión activa de salir de su zona de confort de la tecnología y de volverse un líder más alineado con el negocio, no solo beneficiará a su organización, sino que también mejorará su carrera. Le permitirá posicionarse para lograr tener voz y voto en el desarrollo de estrategias de gestión de los riesgos para el negocio.

Lea la serie del blog: Cómo volverse un líder de ciberseguridad alineado con el negocio

Las publicaciones de blog anteriores de esta serie se enfocaron en los desafíos de alinear el área de ciberseguridad y el área de negocios y en por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". También examinamos lo que revelan las estrategias de respuesta ante COVID-19 acerca de la desconexión de los negocios cibernéticos, discutimos por qué las métricas de ciberseguridad existentes se quedan cortas cuando se comunica el riesgo cibernético, exploramos los cinco pasos para obtener la alineación con los negocios y proporcionamos un vistazo hacia un día en la vida de un líder de ciberseguridad alineado con el negocio.

Para obtener más información

• Vea los puntos adicionales más destacados del estudio aquí.
• Descargue el estudio completo, El ascenso del ejecutivo de seguridad alineado con el negocio.
• Lea los blogs:
  • Alineación de la ciberseguridad y los negocios: nadie dijo que fuera fácil.
  • ¿Por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta "¿qué tan seguros estamos?"?
  • Qué nos indican las estrategias de respuesta a la COVID-19 sobre la desconexión entre el área de ciberseguridad y el área de negocios.
  • Cómo comunicar el riesgo cibernético: por qué las métricas de ciberseguridad existentes no son suficientes.
  • Cinco pasos para volverse un líder de ciberseguridad alineado con el negocio.
• Descargue el documento técnico, Qué se necesita para ser un líder de seguridad alineado con los negocios.
• Lea el libro electrónico, Cómo volverse un líder de seguridad alineado con el negocio.
• Escuche la serie de podcasts sobre Cyber Exposure, Entrevista con el CSO de Tenable, Bob Huber.
• Vea el seminario web, "El ascenso del ejecutivo de seguridad alineado con el negocio".