Cómo mejorar la toma de decisiones sobre ciberseguridad a fin de reducir el riesgo para el negocio

Aumente la eficacia de su programa mediante la identificación de las métricas que ofrecen los datos contextuales correctos para ayudar en la toma de decisiones de su organización a nivel ejecutivo, estratégico y táctico.

Los desafíos de los equipos de seguridad siguen en aumento frente a entornos en constante cambio y atacantes que aprovechan la velocidad y escalabilidad de los entornos modernos de TI. La velocidad y complejidad de estos cambios abre un capítulo nuevo en la evolución de los equipos de seguridad de la información; actualmente, estos equipos también deben convertirse en expertos en la gestión de riesgo. Ya sea que forme parte de un equipo de uno o muchos integrantes, usted debe enfrentar la toma de decisiones en múltiples niveles dentro de su organización para poder mitigar riesgos de manera más efectiva. 

En nuestro documento técnico más reciente, Tres niveles de estrategias de seguridad en las decisiones sobre riesgos para el negocio, profundizamos acerca de los tres niveles de estrategias de toma de decisiones que deben llevar a la práctica los equipos de seguridad: 

• ejecutivo;

• estratégico;  y 

• táctico. 


El proceso de toma de decisiones en cada uno de estos niveles involucra muchos matices y puede ser complejo. Le mostraremos algunos ejemplos de los tipos de decisiones que se requieren en cada nivel, y cómo pueden ayudar las métricas y herramientas correctas para mejorar la toma de decisiones en los tres niveles, a fin de poder elevar el nivel de la eficacia de su programa de seguridad. 

Decisiones a nivel ejecutivo

A nivel ejecutivo, los líderes de seguridad trabajan con dos subáreas diferentes de apoyo para la toma de decisiones: la transmisión de información y métricas acerca de la postura de seguridad y la postura ante el riesgo de la organización a su contraparte, los altos ejecutivos del área de negocios; y para sus propias decisiones a nivel ejecutivo, la provisión de apoyo y dirección a su equipo de seguridad. 

Habitualmente, para apoyar a los altos ejecutivos, los ejecutivos de seguridad pedirán a sus equipos de seguridad información diversa que les ayude a guiar las decisiones de negocios, sobre ingresos y sobre responsabilidades que afecten a toda la organización. Con el fin de mejorar la toma de decisiones en este nivel, las métricas que proporcione el equipo de seguridad deben basarse en el riesgo y estar formuladas de modo que se alineen con los impulsores del negocio.

Por ejemplo, dado que los líderes del área de negocios necesitan que la información de seguridad se les comunique dentro del contexto general de las metas de la organización, no la considerarán valiosa si ven las cifras sin procesar de los programas de malware bloqueados por el software de protección del punto de conexión, o la cantidad total de vulnerabilidades a las que se les colocaron parches este mes. Esto representa el volumen total sin ningún contexto de negocios. En su lugar, los líderes de seguridad deberían tener en cuenta los porcentajes de vulnerabilidades con riesgo crítico que se detectaron y eliminaron dentro del plazo establecido por el Acuerdo de Nivel de Servicio (SLA), o la tendencia de reducción de riesgos desglosada por alguna de las principales funciones de negocios, tales como el sitio web de comercio electrónico más significativo de la organización o el centro de datos más importante de Nueva York.

Ver el desempeño de seguridad a través de un lente más amplio permite que los líderes de seguridad proporcionen datos contextuales valiosos a los ejecutivos de negocios, de modo que puedan comprobar la efectividad del programa de seguridad y decidir si hay áreas en donde deban invertir más recursos para mitigar aún más el riesgo y reducirlo dentro del negocio.

Estas mismas métricas, cuando se miran únicamente desde la perspectiva del equipo de seguridad, representan una amalgama de todos los esfuerzos de todos los miembros y niveles de toma de decisiones del equipo. De este modo, los CISO y otros líderes de seguridad de nivel ejecutivo pueden determinar de forma mensurable si la visión del equipo de seguridad se está llevando a cabo con éxito por parte de otros miembros del equipo, y si las decisiones a nivel estratégico y táctico son efectivas para reducir el riesgo de manera tangible. Claro que, si estas métricas muestran una tendencia decreciente, esto permite que los líderes de seguridad corrijan el curso e identifiquen las áreas que necesitan un mayor apoyo de la dirección para eliminar obstáculos, adquirir más recursos, contratar más personal o traer asistencia adicional externa. 

Decisiones a nivel estratégico

En la medida en que uno baja por la jerarquía organizativa del equipo de seguridad, los tomadores de decisiones a nivel estratégico (comúnmente, directores, líderes de equipo u otros mandos medios, pero también expertos técnicos sénior o analistas) deben respaldar a los equipos de nivel ejecutivo para que tomen mejores decisiones sobre la dirección general del negocio y, al mismo tiempo, deben ayudar a los equipos de nivel táctico con el fin de ser más eficientes y efectivos en sus esfuerzos de corrección para reducir el riesgo. 

La priorización de riesgos es clave para respaldar mejor a los equipos de nivel táctico, cuyas decisiones operativas diarias son fundamentales para asegurar que la organización enfoque los recursos en las áreas más críticas, donde la corrección tendrá el mayor impacto. En la medida en que trabaje para convertir los requisitos del negocio en ejecución operativa, la criticidad de los activos es clave para comprender no solo dónde reducir los riesgos más críticos para el negocio en general, sino para ayudar a los equipos operativos a priorizar su trabajo de manera más eficiente y efectiva. 

Con la comprensión de la criticidad para el negocio de los activos en su organización, ya sea por la ubicación del activo, la exposición a Internet, el tipo de dispositivo, qué función de negocios apoya o cualquier otro factor, usted puede aplicar a sus flujos de trabajo de corrección un abordaje que esté más basado en el riesgo.    

Para la gestión general de su programa de seguridad, también es importante comprender si las políticas, los procesos y los procedimientos funcionan o no como se espera y si ayudan a aumentar la madurez con el tiempo. Es importante que las decisiones a nivel estratégico respalden los otros dos niveles de toma de decisiones. Al refinar y mejorar constantemente el programa de seguridad a través de mejores decisiones estratégicas, se puede demostrar que el programa es efectivo y que sigue mejorando, lo cual, para los tomadores de decisiones a nivel ejecutivo, es un indicador importante del valor para el negocio. Que los ejecutivos comprendan que hay valor para el negocio en lo que usted está haciendo a fin de mejorar el programa de seguridad no solo es fundamental para el éxito del equipo, sino que puede usarse para justificar las solicitudes de asignaciones adicionales de presupuesto y personal. Es aquí donde la medición de la efectividad de su evaluación y sus procesos de corrección desde el punto de vista de la madurez no solo permite que quien toma decisiones a nivel estratégico administre recursos donde sean necesarios para mejorar estos flujos de trabajo, sino que también respalda los requisitos generales del negocio de reducir continuamente el riesgo e impulsar un mayor retorno de la inversión a través de la optimización de la eficiencia y de los procesos.

Decisiones a nivel táctico

Esté involucrado directamente o no el equipo de seguridad en la ejecución operativa de los esfuerzos activos de corrección, seguirá teniendo una función crítica para ayudar a ejecutar estas tareas diarias de colocación de parches y de corrección de manera efectiva y eficiente. 

Al convertir los hallazgos de seguridad en pasos recomendados específicos, el equipo de seguridad puede facilitar que los equipos de operaciones comprendan rápidamente qué se debe hacer y desarrollar eficientemente el flujo de trabajo adecuado para realizar los pasos de corrección necesarios. Aquí, una integración sin contratiempos entre los procesos operativos y de seguridad implica una mejor eficacia general del programa, lo cual crea más valor y reduce riesgos más tangibles para la organización.

Cada nivel tiene sus desafíos propios y únicos para la toma de decisiones. Pero si cuenta con la información y las perspectivas correctas, puede lograr y demostrar mejoras tangibles en la eficacia del programa.

Para obtener más información

• Lea el documento técnico: Tres niveles de estrategias de seguridad en las decisiones sobre riesgos para el negocio.
• Regístrese al seminario web (en inglés):  Improve Your Security Strategy: Master the 3 Levels of Decision Making.
• Ver el video: Mida la eficacia del programa con Tenable Lumin