Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

Un día en la vida de un líder de ciberseguridad alineado con el negocio

El futuro pertenece a los líderes de ciberseguridad que puedan alinear sus objetivos con la comprensión del riesgo para el negocio. A continuación, presentamos ocho acciones cotidianas que puede realizar para lograrlo.

Hace veinte años que trabajo en el área de ciberseguridad. Estuve en el área técnica, realizando pruebas de penetración y análisis de malware. Dirigí programas de detección de intrusiones y centros de operaciones de seguridad, y era responsable de sus políticas y del cumplimiento. En mi puesto actual en Tenable, gestiono las relaciones con los proveedores de 40 herramientas de seguridad y puedo decir, con bastantes detalles, qué hace cada una de esas herramientas a diario y cómo funciona. Puedo proporcionar una lista de todas las vulnerabilidades a las que les hemos colocado parches, y en qué sistemas, en los últimos 30 días. Pero cada vez que hablo con los altos ejecutivos de negocios y con la junta —en mi puesto actual o en organizaciones anteriores—, nada de eso importa.

A final de cuentas, siempre me hacen la misma pregunta: "¿Qué tan seguros, o en riesgo, estamos?". Y durante 20 años, siempre ha sido difícil dar una respuesta bien fundamentada. 

A principios de este año, Tenable encomendó a Forrester Consulting un estudio de más de 800 líderes de negocios y de ciberseguridad en todo el mundo para averiguar por qué. Se resume en esto: existe una desconexión crónica entre el área de ciberseguridad y el área de negocios, que se ve agravada por las limitaciones de la tecnología, los procesos y los datos de que disponen los líderes de seguridad.

Pero estaríamos equivocados si no consideráramos también los factores humanos que están en el centro de esa desconexión.

Los negocios como segundo idioma

Los CISO y otros líderes de ciberseguridad son participantes singulares entre los altos ejecutivos. Debemos comunicarnos con la misma fluidez, tanto en la jerga de tecnología como en la de negocios. Sin embargo, a diferencia de nuestros colegas del área de finanzas o de ventas —que pueden tener una maestría en negocios u otra formación similar—, muchos líderes de ciberseguridad tenemos una formación técnica, como una licenciatura en Ciencias de la Computación. Por lo general, ocupamos puestos técnicos cuando ascendemos en la jerarquía de una organización. Esto nos pone en una desventaja inmediata cuando, finalmente, somos altos ejecutivos o llegamos a la alta dirección. 

La tecnología es nuestro "idioma materno". Y las herramientas y los procesos que utilizamos se basan en el idioma de la tecnología, lo que produce resultados que podemos comunicar claramente en nuestra "lengua materna". La mayoría de nosotros aprendimos a hablar bastante bien el lenguaje de los negocios "como segundo idioma", pero sigue habiendo una desconexión, en parte, porque las herramientas y los marcos que necesitamos para cumplir con nuestros trabajos no se prestan a una traducción fácil.

"Es saber cómo traducir muchas de las cosas que encontramos desde la perspectiva de la seguridad, y relacionarlas con el negocio", dijo Rick Vadgama, Vicepresidente y CISO de una plataforma global de viajes en línea, en una entrevista con Tenable. "Hay muchos profesionales de InfoSec que, sin dudas, comprenden qué son las vulnerabilidades o los exploits, pero no saben cómo traducir eso para que un ejecutivo de negocios común pueda entenderlo. No saben cómo hacer que sea fácil de comprender".

Vadgama, que se especializó en Finanzas y Contabilidad en la universidad y desempeñó funciones de negocios al principio de su carrera, antes de darse cuenta de que no era su vocación y cambiarse al área de TI, dijo que la diversidad de su experiencia lo ayudó en su rol actual. "Comprendo la dimensión del negocio. Comprendo las finanzas. Y posteriormente, dado que ascendí en la jerarquía de los puestos de TI y trabajé en varias funciones —entre ellas, Director de TI, responsable de redes y responsable de grupos de desarrollo—, también tengo información sobre el contexto de esas funciones. Así que, cuando comencé a trabajar en el área de seguridad, ya tenía esa información y esos conocimientos, sé cómo crear puentes entre los integrantes del área técnica y los integrantes del área de negocios".

Para los líderes de ciberseguridad que ascendieron en la jerarquía de los puestos técnicos, Vadgama tiene este consejo: "Deje el ámbito de la seguridad y trabaje en puestos diferentes por un tiempo, para ubicarse en el contexto de cómo dirigir un negocio o grupo, y posteriormente, vuelva a InfoSec".

Es el pan nuestro de cada día

Un documento de SANS Institute publicado hace mucho tiempo, en 2003, expresó claramente los desafíos, que siguen vigentes hasta hoy: "Las responsabilidades [del CISO] son diferentes a las de cualquier otro alto ejecutivo; ni siquiera los CIO tienen este alcance".

El documento de SANS detalla las siguientes como las responsabilidades más importantes que tienen la mayoría de los CISO: 

  • Actuar como representante de la organización en lo que respecta a las consultas de clientes, socios y público en general sobre la estrategia de seguridad de la organización.
  • Actuar como representante de la organización en el trato con los organismos de orden público y, a la vez, buscar los orígenes de los ataques a las redes y del robo de información por parte de los empleados.
  • Equilibrar las necesidades de seguridad con el plan de negocios estratégico de la organización, identificar los factores de riesgo y determinar soluciones para ambos.
  • Desarrollar políticas y procedimientos de seguridad que proporcionen una protección adecuada de las aplicaciones de negocios, sin interferir en los requisitos del negocio principal.
  • Planificar y probar las respuestas a las filtraciones de datos, incluyendo la posibilidad de hablar sobre el evento con clientes, socios o el público en general.
  • Supervisar la selección, las pruebas, la implementación y el mantenimiento de los productos de hardware y software de seguridad, así como también los acuerdos de subcontratación.
  • Supervisar un grupo de empleados responsables de la seguridad de la organización, desde los técnicos de red que gestionan dispositivos de firewall hasta los guardias de seguridad.

Dado el amplio alcance del puesto, puede ser difícil saber dónde priorizar el tiempo en un día típico. La mayoría de nosotros preferiría mantenerse en la zona de confort técnica, representada por los últimos tres puntos anteriores, y pasar nuestros días planificando la respuesta ante incidentes y supervisando las operaciones diseñadas para minimizar su probabilidad. 

Pero quedarse en nuestra zona de confort no hace que ninguno de nosotros esté más seguro. De acuerdo con el estudio de Forrester, El ascenso del ejecutivo de seguridad alineado con el negocio, el 94 % de las organizaciones sufrió un ataque cibernético con impacto en el negocio en los últimos doce meses, que provocó, al menos, uno de los siguientes hechos: pérdida de datos confidenciales, de clientes o de empleados; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto y/o robo de propiedad intelectual. Y la gran mayoría de los encuestados (77 %) prevé que los ataques cibernéticos aumentarán en los próximos dos años.

El estudio también revela que el 66 % de los líderes de negocios —como mucho— confía parcialmente en la capacidad de su equipo de seguridad para cuantificar el nivel de riesgo o de seguridad en su organización. 

Cómo volverse un líder de seguridad alineado con el negocio: 8 pasos

Está claro que algo tiene que cambiar. Como líderes de seguridad, debemos encontrar formas de mejorar nuestra alineación con el negocio. Y eso requiere esfuerzo, todos los días. Usted debe estar consciente de cómo prioriza su tiempo, para asegurarse de que haya estructurado sus operaciones de forma tal, que le permita tener tiempo suficiente para enfocarse en la alineación con el negocio.

"Lo más importante para convertirse en un líder de ciberseguridad alineado con el negocio es aportar valor al negocio y crear un ciclo de colaboración de copropiedad", dijo José María Labernia Salvador, Director de Seguridad y Control Interno de TI de LafargeHolcim IT EMEA en Madrid, en una entrevista con Tenable. "La misión y la visión también son muy importantes para llegar a un acuerdo con el negocio, y es necesario establecer una relación de socios, de confianza, para asegurarse de que exista un canal directo de comunicación".

Según Vadgama, es clave hacer el esfuerzo de construir relaciones de confianza en toda la organización. En su empresa actual, la posibilidad de participar en el comité de privacidad de la organización le dio la oportunidad de colaborar con los líderes del equipo legal, así como también con los líderes de gestión e ingeniería de productos, entre otros departamentos. Pero incluso sin un comité formal, es posible comunicarse y conectarse a lo largo de toda la organización.

"No se trata de reunirse solamente con el equipo de TI", dijo Vadgama. "También implica reunirse con los departamentos de ingeniería, marketing, ventas, etcétera, y establecer esas relaciones. De esa manera, cuando encontramos algo que estos equipos necesitan abordar y yo me presento a la puerta de su oficina, ellos me dicen: 'Está bien. Sí, sabemos que tenemos que encargarnos de esto'". 

A continuación, presentamos ocho prácticas que puede incorporar a su día a día, y que lo conducirán al camino hacia un futuro alineado con el negocio:

  1. Dedique tiempo, todos los días, a revisar los documentos públicos de su compañía. Preste atención a lo que comunican los ejecutivos de su organización a través de los estados financieros, comunicados de prensa, artículos de noticias, sitios de redes sociales y foros de la industria.
  2. Agende una llamada con los ejecutivos de las diversas líneas de negocios para comprender cuáles son sus desafíos cotidianos y construir una relación. Sepa cómo se mide su desempeño. Ayúdelos a ver la seguridad como un facilitador para sus necesidades de negocios, en lugar de un impedimento. De esta manera, es más probable que lo involucren antes en sus planes estratégicos.
  3. Desarrolle un conocimiento práctico de las prioridades y los desafíos a los que se enfrentan las organizaciones de su sector de la industria. Únase a asociaciones del gremio o a otras organizaciones profesionales, lea artículos de negocios en revistas del gremio, asista a seminarios web y a otros eventos de la industria. Al hacerlo, obtendrá vocabulario de trabajo y perspectivas importantes que le ayudarán a alinear mejor sus iniciativas de seguridad con las necesidades de negocios propias de su organización.
  4. Agende consultas periódicas con los altos ejecutivos y aproveche el tiempo para enterarse de cuáles son sus mayores preocupaciones. Solo comprendiendo los puntos débiles del negocio, en términos más amplios, se puede comenzar a desarrollar una comprensión integral de lo que el "riesgo" significa realmente para su organización.
  5. Use las revisiones trimestrales del negocio como una excelente oportunidad de aprendizaje. Escuche atentamente las prioridades estratégicas y los puntos débiles expresados por sus colegas y considere los factores externos al negocio que influyen en ellos. Preste atención a la forma en que cada ejecutivo demuestra el retorno de sus inversiones de negocios, y encuentre formas de adaptar su propia métrica del ROI de seguridad en consecuencia.
  6. Cree una red de asesores de negocios de confianza. Contrate mentores de todo el espectro de negocios para proporcionarle orientación y asesoría, y que le ayuden a perfeccionar sus comunicaciones, a fin de que sean más fáciles de entender para el área de negocios.
  7. Establezca relaciones con los profesionales de riesgo de su organización. La ciberseguridad es tanto un riesgo, en sí misma, como un factor importante en todas las demás conversaciones acerca de los riesgos para el negocio. Descubra cómo puede participar de forma eficaz en el desarrollo de estrategias de gestión de riesgo empresarial que mantengan la ciberseguridad en primer plano.
  8. Preste atención a las relaciones con terceros que se producen a lo largo de toda la organización. Es posible que usted ya tenga un conocimiento práctico de las relaciones clave, como los proveedores de servicios de procesamiento de la nómina o de planificación de recursos empresariales. Pero ¿cuánta visibilidad tiene hacia las herramientas y las plataformas utilizadas por el equipo responsable del sitio web o los contratistas de servicio y soporte que mantienen y atienden la tecnología operativa de su organización?

Encontrar tiempo para todo lo anterior, además de desempeñar todos los otros aspectos de su función de manera eficaz, puede parecer una propuesta abrumadora. No podrá hacer todo a la vez. Elija uno o dos aspectos que tengan las mayores repercusiones para usted, y comience allí.

Un abordaje, dijo Labernia, es "comenzar por arriba. Los líderes de negocios tienden a estar muy abiertos a hablar con nosotros, una vez que comprenden la complejidad y los riesgos de la situación actual de la ciberseguridad. Posteriormente, puede acercarse de forma progresiva a otras áreas clave de la organización. Intente cambiar el abordaje común de decir "NO" a decir "LO SÉ". Siempre se puede encontrar una manera de dirigir el negocio de forma segura una vez que se comprenden los objetivos".

Al tomar la decisión activa de salir de su zona de confort de la tecnología y de volverse un líder más alineado con el negocio, no solo beneficiará a su organización, sino que también mejorará su carrera. Le permitirá posicionarse para lograr tener voz y voto en el desarrollo de estrategias de gestión de los riesgos para el negocio.

Lea la serie del blog: Cómo volverse un líder de ciberseguridad alineado con el negocio

Las publicaciones de blog anteriores de esta serie se enfocaron en los desafíos de alinear el área de ciberseguridad y el área de negocios y en por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". También examinamos lo que revelan las estrategias de respuesta ante COVID-19 acerca de la desconexión de los negocios cibernéticos, discutimos por qué las métricas de ciberseguridad existentes se quedan cortas cuando se comunica el riesgo cibernético, exploramos los cinco pasos para obtener la alineación con los negocios y proporcionamos un vistazo hacia un día en la vida de un líder de ciberseguridad alineado con el negocio.

Para obtener más información

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de accesos de seguridad completos a nuestra última oferta de análisis de vulnerabilidades de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos de seguridad en la nube a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar vulnerabilidades y riesgos cibernéticos.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo análisis de vulnerabilidades de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de análisis de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación