Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Cómo mejorar la toma de decisiones sobre ciberseguridad a fin de reducir el riesgo para el negocio

Cómo mejorar la toma de decisiones sobre ciberseguridad a fin de reducir el riesgo para el negocio

Aumente la eficacia de su programa mediante la identificación de las métricas que ofrecen los datos contextuales correctos para ayudar en la toma de decisiones de su organización a nivel ejecutivo, estratégico y táctico.

Los desafíos de los equipos de seguridad siguen en aumento frente a entornos en constante cambio y atacantes que aprovechan la velocidad y escalabilidad de los entornos modernos de TI. La velocidad y complejidad de estos cambios abre un capítulo nuevo en la evolución de los equipos de seguridad de la información; actualmente, estos equipos también deben convertirse en expertos en la gestión de riesgo. Ya sea que forme parte de un equipo de uno o muchos integrantes, usted debe enfrentar la toma de decisiones en múltiples niveles dentro de su organización para poder mitigar riesgos de manera más efectiva. 

En nuestro documento técnico más reciente, Tres niveles de estrategias de seguridad en las decisiones sobre riesgos para el negocio, profundizamos acerca de los tres niveles de estrategias de toma de decisiones que deben llevar a la práctica los equipos de seguridad: 

  • ejecutivo;

  • estratégico;  y 

  • táctico. 


El proceso de toma de decisiones en cada uno de estos niveles involucra muchos matices y puede ser complejo. Le mostraremos algunos ejemplos de los tipos de decisiones que se requieren en cada nivel, y cómo pueden ayudar las métricas y herramientas correctas para mejorar la toma de decisiones en los tres niveles, a fin de poder elevar el nivel de la eficacia de su programa de seguridad. 

Decisiones a nivel ejecutivo

A nivel ejecutivo, los líderes de seguridad trabajan con dos subáreas diferentes de apoyo para la toma de decisiones: la transmisión de información y métricas acerca de la postura de seguridad y la postura ante el riesgo de la organización a su contraparte, los altos ejecutivos del área de negocios; y para sus propias decisiones a nivel ejecutivo, la provisión de apoyo y dirección a su equipo de seguridad. 

Habitualmente, para apoyar a los altos ejecutivos, los ejecutivos de seguridad pedirán a sus equipos de seguridad información diversa que les ayude a guiar las decisiones de negocios, sobre ingresos y sobre responsabilidades que afecten a toda la organización. Con el fin de mejorar la toma de decisiones en este nivel, las métricas que proporcione el equipo de seguridad deben basarse en el riesgo y estar formuladas de modo que se alineen con los impulsores del negocio.

Por ejemplo, dado que los líderes del área de negocios necesitan que la información de seguridad se les comunique dentro del contexto general de las metas de la organización, no la considerarán valiosa si ven las cifras sin procesar de los programas de malware bloqueados por el software de protección del punto de conexión, o la cantidad total de vulnerabilidades a las que se les colocaron parches este mes. Esto representa el volumen total sin ningún contexto de negocios. En su lugar, los líderes de seguridad deberían tener en cuenta los porcentajes de vulnerabilidades con riesgo crítico que se detectaron y eliminaron dentro del plazo establecido por el Acuerdo de Nivel de Servicio (SLA), o la tendencia de reducción de riesgos desglosada por alguna de las principales funciones de negocios, tales como el sitio web de comercio electrónico más significativo de la organización o el centro de datos más importante de Nueva York.

Ver el desempeño de seguridad a través de un lente más amplio permite que los líderes de seguridad proporcionen datos contextuales valiosos a los ejecutivos de negocios, de modo que puedan comprobar la efectividad del programa de seguridad y decidir si hay áreas en donde deban invertir más recursos para mitigar aún más el riesgo y reducirlo dentro del negocio.

Cómo mejorar la toma de decisiones sobre ciberseguridad a fin de reducir el riesgo para el negocio_1

Estas mismas métricas, cuando se miran únicamente desde la perspectiva del equipo de seguridad, representan una amalgama de todos los esfuerzos de todos los miembros y niveles de toma de decisiones del equipo. De este modo, los CISO y otros líderes de seguridad de nivel ejecutivo pueden determinar de forma mensurable si la visión del equipo de seguridad se está llevando a cabo con éxito por parte de otros miembros del equipo, y si las decisiones a nivel estratégico y táctico son efectivas para reducir el riesgo de manera tangible. Claro que, si estas métricas muestran una tendencia decreciente, esto permite que los líderes de seguridad corrijan el curso e identifiquen las áreas que necesitan un mayor apoyo de la dirección para eliminar obstáculos, adquirir más recursos, contratar más personal o traer asistencia adicional externa. 

Decisiones a nivel estratégico

En la medida en que uno baja por la jerarquía organizativa del equipo de seguridad, los tomadores de decisiones a nivel estratégico (comúnmente, directores, líderes de equipo u otros mandos medios, pero también expertos técnicos sénior o analistas) deben respaldar a los equipos de nivel ejecutivo para que tomen mejores decisiones sobre la dirección general del negocio y, al mismo tiempo, deben ayudar a los equipos de nivel táctico con el fin de ser más eficientes y efectivos en sus esfuerzos de corrección para reducir el riesgo. 

La priorización de riesgos es clave para respaldar mejor a los equipos de nivel táctico, cuyas decisiones operativas diarias son fundamentales para asegurar que la organización enfoque los recursos en las áreas más críticas, donde la corrección tendrá el mayor impacto. En la medida en que trabaje para convertir los requisitos del negocio en ejecución operativa, la criticidad de los activos es clave para comprender no solo dónde reducir los riesgos más críticos para el negocio en general, sino para ayudar a los equipos operativos a priorizar su trabajo de manera más eficiente y efectiva. 

Con la comprensión de la criticidad para el negocio de los activos en su organización, ya sea por la ubicación del activo, la exposición a Internet, el tipo de dispositivo, qué función de negocios apoya o cualquier otro factor, usted puede aplicar a sus flujos de trabajo de corrección un abordaje que esté más basado en el riesgo.    

Cómo mejorar la toma de decisiones sobre ciberseguridad a fin de reducir el riesgo para el negocio_2

Para la gestión general de su programa de seguridad, también es importante comprender si las políticas, los procesos y los procedimientos funcionan o no como se espera y si ayudan a aumentar la madurez con el tiempo. Es importante que las decisiones a nivel estratégico respalden los otros dos niveles de toma de decisiones. Al refinar y mejorar constantemente el programa de seguridad a través de mejores decisiones estratégicas, se puede demostrar que el programa es efectivo y que sigue mejorando, lo cual, para los tomadores de decisiones a nivel ejecutivo, es un indicador importante del valor para el negocio. Que los ejecutivos comprendan que hay valor para el negocio en lo que usted está haciendo a fin de mejorar el programa de seguridad no solo es fundamental para el éxito del equipo, sino que puede usarse para justificar las solicitudes de asignaciones adicionales de presupuesto y personal. Es aquí donde la medición de la efectividad de su evaluación y sus procesos de corrección desde el punto de vista de la madurez no solo permite que quien toma decisiones a nivel estratégico administre recursos donde sean necesarios para mejorar estos flujos de trabajo, sino que también respalda los requisitos generales del negocio de reducir continuamente el riesgo e impulsar un mayor retorno de la inversión a través de la optimización de la eficiencia y de los procesos.

Cómo mejorar la toma de decisiones sobre ciberseguridad a fin de reducir el riesgo para el negocio_3

Decisiones a nivel táctico

Esté involucrado directamente o no el equipo de seguridad en la ejecución operativa de los esfuerzos activos de corrección, seguirá teniendo una función crítica para ayudar a ejecutar estas tareas diarias de colocación de parches y de corrección de manera efectiva y eficiente. 

Al convertir los hallazgos de seguridad en pasos recomendados específicos, el equipo de seguridad puede facilitar que los equipos de operaciones comprendan rápidamente qué se debe hacer y desarrollar eficientemente el flujo de trabajo adecuado para realizar los pasos de corrección necesarios. Aquí, una integración sin contratiempos entre los procesos operativos y de seguridad implica una mejor eficacia general del programa, lo cual crea más valor y reduce riesgos más tangibles para la organización.

Cómo mejorar la toma de decisiones sobre ciberseguridad a fin de reducir el riesgo para el negocio_4

Cada nivel tiene sus desafíos propios y únicos para la toma de decisiones. Pero si cuenta con la información y las perspectivas correctas, puede lograr y demostrar mejoras tangibles en la eficacia del programa.

Para obtener más información

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.