¿Por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta "¿qué tan seguros estamos?"?

Un estudio independiente de riesgos para el negocio muestra que la ciberseguridad raramente está integrada plenamente en la estrategia de negocios, y necesita estarlo.

Imagínese esto: se ha dado a conocer una vulnerabilidad que acapara los titulares. Está en todos los noticieros y en las redes sociales. Involucra software utilizado por casi todos los negocios en el planeta. La junta exige respuestas y los altos ejecutivos buscan una solución desesperadamente. Su CEO convoca a una reunión de emergencia. Lo primero que le pregunta a usted es: ¿qué tan seguros estamos? 

¿Está preparado para responder?

Si es así, es uno de los afortunados. De acuerdo con un estudio encomendado por Tenable a Forrester Consulting, sólo 4 de 10 líderes de seguridad dijeron que podían responder con mucha confianza a la pregunta: ¿qué tan seguros, o en riesgo, estamos? 

Si usted ha pasado más de un minuto en funciones de ciberseguridad, sabe por qué contestar a esta pregunta es mucho más difícil de lo que parece. 

Claro, usted puede proporcionar datos de cuántos sistemas se ven afectados y de qué tan rápidamente su equipo puede corregir. Pero todos estos datos no darán a su CEO las respuestas que busca. Lo que realmente desea saber es: ¿nuestra capacidad de cumplir con el valor fundamental de nuestro negocio se verá afectada negativamente como consecuencia de esta vulnerabilidad? 

El estudio encomendado a Forrester — que se basa en una encuesta aplicada a 416 ejecutivos de seguridad y a 425 ejecutivos de negocios en 10 países — revela una desconexión en cómo las empresas comprenden y gestionan el riesgo cibernético. De acuerdo al estudio, El ascenso del ejecutivo de seguridad alineado con el negocio, una preocupante cantidad de los líderes de negocios, 66 %, como mucho confía parcialmente en la capacidad de su equipo de seguridad para cuantificar el nivel de riesgo o de seguridad en su organización. El estudio también revela que:

• Menos del 50 % de los líderes de seguridad plantea el impacto de las amenazas a la ciberseguridad dentro del contexto de un riesgo específico para el negocio. 
• Solo la mitad de los líderes de seguridad (51 %) dijo que su organización trabaja con los integrantes del área de negocios para alinear los objetivos de costos, desempeño y reducción de riesgo con las necesidades del negocio.
• Solo el 43 % de los líderes de seguridad afirmó que examina periódicamente las métricas de rendimiento de la organización de seguridad junto con las partes interesadas del negocio*.
• Menos de la mitad de los líderes de seguridad (47 %) consulta con mucha frecuencia a los ejecutivos de negocios cuando desarrolla su estrategia de ciberseguridad. Por otra parte, cuatro de diez ejecutivos de negocios (42 %) raramente consultan — si alguna vez lo hacen — a los líderes de seguridad cuando desarrollan las estrategas de negocios de sus organizaciones.
• Sólo el 54% de líderes en seguridad y el 42% de los ejecutivos dice que sus estrategias de ciberseguridad están completamente o estrechamente alineadas con los objetivos del negocio. 

“El mayor desafío al hablar con los líderes de negocios, es tratar de hacer que la conversación no sea técnica y se enfoque en el negocio, o ser capaz de traducir el lenguaje técnico en términos que apliquen al negocio", dijo Kevin Kerr, CISO de Oak Ridge National Laboratory, TN, en una entrevista con Tenable. “Si uno no comprende el negocio, es incapaz de hacerlo. Usted necesita comprender dónde radican sus temores, qué piensan de las amenazas y qué es importante para ellos. Si usted entiende su negocio, usted sabe lo que intentan hacer, lo que están tratando de proteger, lo que están tratando de monetizar; usted les presenta la mejor manera de hacerlo de forma segura para cumplir los estándares de los que se supone debe rendir cuentas, mientras les permite tener la libertad de hacer sus negocios”.

Comprensión del contexto de negocios

Llegar al contexto de negocios del riesgo cibernético no es fácil, y las respuestas varían de una organización a otra. 

"El riesgo es un término al que los profesionales de ciberseguridad temen, y también es muy conocido en el área de ciberseguridad", dijo Cesar Garza, CISO de Home Depot México en San Pedro, México. "Nosotros, los profesionales de la ciberseguridad, lidiamos con el riesgo todo el tiempo: vulnerabilidades, fallas en código, factor humano, procesos interrumpidos, tecnología obsoleta, configuraciones incorrectas, etc. El riesgo es el factor común entre el lenguaje de la ciberseguridad y los ejecutivos de negocios. Es el denominador común. Pero aún así, el gran desafío es traducir los riesgos de ciberseguridad cibernética al lenguaje de los riesgos de negocios, que necesitan ser comprendidos por los ejecutivos. En algunos casos, necesitamos considerar el peor de los escenarios, hablar sobre preocupaciones tales como multas, daño a la marca y pérdida de la lealtad de los clientes, para que realmente nos comprendan. Por lo que me gusta decir: "Vamos a hablar acerca de los riesgos para que podamos comprender nuestras inversiones en ciberseguridad’ “.

A fin de proporcionar un contexto de negocios, seguridad y gestión de riesgos, los líderes deben primero ser capaces de responder a dos preguntas clave:

1. ¿Cuál es la creación de valor fundamental de su organización? En la fabricación, la respuesta puede ser la elaboración de componentes para obtener ganancias. En el cuidado de la salud, la respuesta puede ser el suministro de atención médica a los pacientes. En el gobierno, la respuesta puede ser la de ofrecer un servicio al público, como la emisión de licencias de conducir o la recolección de basura. 
2. ¿Cuál de sus activos de TI es crucial para la creación de valor fundamental? Por ejemplo, ¿hay algún sistema ERP o una aplicación o base de datos de registros médicos que si pierde la conexión a Internet, causaría que las operaciones de su negocio se paralicen? ¿Hay grupos de usuarios cuyas computadoras, si se ponen en riesgo, expondría la propiedad intelectual clave o los datos confidenciales que pudieran impedir que la organización cumpla con esa creación de valor fundamental? ¿Hay algún un entorno en la nube que si pierde la conexión a Internet, podría arruinar un importante servicio web orientado al cliente, como banca electrónica o sitio de comercio electrónico?

"Es realmente muy bueno trabajar en equipo y consultar a los diversos líderes de negocios para comprender cuáles son las iniciativas que se están llevando a cabo en la empresa", afirmó Rick Vadgama, Vicepresidente y CISO de una plataforma global de viajes en Needham, MA, en entrevista con Tenable. "Si pierden un sistema o una función, ¿cuál sería el impacto que el flujo de ingresos? Con base en ello, nos gustaría saber desde una perspectiva de seguridad dónde tendríamos que gastar tiempo y esfuerzo para asegurarnos de que tengamos una buena lectura de todos los activos que componen el sistema y comprender cuáles son las vulnerabilidades. Como líderes de Infosec, nuestros entornos son muy amplios. Al trabajar realmente con los líderes de negocios, usted puede enterarse de primera mano de lo que para ellos son los sistemas más importantes e imprescindibles, y posteriormente colocar sus esfuerzos en torno a ello".

Aunque mejorar su comprensión del contexto de negocios es fundamental, también es importante reconocer que, incluso con esa comprensión, la gestión de activos y las bases de datos de configuración existentes no nos llevarán muy lejos. Para empezar, los inventarios de activos y la gestión de configuración son operaciones bastante estáticas. En mi experiencia, la mayoría de las organizaciones están limitadas a la realización de una evaluación anual de riesgos o al análisis de impacto en el negocio de las funciones de negocios críticas. Dicho planteamiento estático es apenas suficiente para captar las realidades de la superficie de ataque moderna, que comprende una combinación dinámica de TI local y basada en la nube, Internet de las cosas (IoT) y tecnología operativa. 

Por ejemplo, en la mayoría de las organizaciones grandes, los servicios en la nube se escalan hacia arriba y hacia abajo todos los días, según sea necesario. Los activos de cómputo se añaden y remueven constantemente, en la medida en que los empleados se incorporan o abandonan una organización. Las aplicaciones y el software se aplican y actualizan continuamente, a medida que cambian las necesidades de negocios. Y, en respuesta a la pandemia de COVID-19, un gran número de empleados en todo el mundo ha cambiado hacia un modelo de trabajo desde casa, que probable establezca un nuevo paradigma para la forma en que operan los negocios. Los negocios de hoy se mueven al ritmo de comercio digital, y los inventarios de activos son incapaces de mantener el ritmo. Por lo que los líderes de seguridad tienen que utilizar las herramientas a su disposición para desarrollar una comprensión tan completa como sea posible de la criticidad de sus activos. 

"El ritmo de crecimiento que están experimentado, que es especialmente relevante en una industria que crece normalmente de manera inorgánica, junto con cierta ambigüedad al realizar las evaluaciones de riesgo cualitativas, son unos de nuestros mayores desafíos como profesionales de la seguridad", dijo José Maria Labernia Salvador, director de seguridad y control interno de TI de LafargeHolcim EMEA en Madrid, en entrevista con Tenable.

Junto con la labor de identificar los activos críticos de su negocio, también debe ser capaz de priorizar, de las decenas de miles de amenazas y vulnerabilidades que enfrenta su organización cada año, cuáles representan realmente el mayor riesgo para los activos más importantes. Los líderes de seguridad necesitan equilibrar la amenaza de una vulnerabilidad, o de un método de ataque, con el impacto en el negocio de la corrección o mitigación. Básicamente, usted necesita comprender qué tan expuesto está al problema, con qué rapidez puede resolverlo mediante el uso de los robustos procesos establecidos y qué efecto tendría en el valor principal de su negocio no hacer nada o abordar el problema.

Cuando los altos ejecutivos de su empresa se alarmen por una nueva vulnerabilidad que aparezca en las noticias, ¿usted estará listo para actuar?

Al final de cuentas, sus altos ejecutivos probablemente no serán expertos en ciberseguridad y mucho menos expertos en vulnerabilidades. Lo que realmente desean saber es: ¿Qué impacto tiene nuestra práctica de ciberseguridad en la creación de valor para el negocio? Un abordaje alineado con el negocio — en el cual usted puede evaluar con confianza cómo muchas vulnerabilidades que son críticas para los activos que tienen el mayor efecto en las áreas de negocios más importantes — le permite desarrollar una respuesta clara a la pregunta: "¿qué tan seguros, o en riesgo, estamos?” 

Lea la serie del blog: Cómo volverse un líder de ciberseguridad alineado con el negocio

Las publicaciones de blog de esta serie se enfocaron en los desafíos de alinear el área de ciberseguridad y el área de negocios y en por qué los líderes de ciberseguridad tienen problemas para responder a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". También examinamos lo que revelan las estrategias de respuesta ante COVID-19 acerca de la desconexión de los negocios cibernéticos, discutimos por qué las métricas existentes de seguridad cibernética se quedan cortas comunicar el riesgo cibernético, exploramos los cinco pasos para lograr la alineación con el negocio y proporcionamos un vistazo hacia un día en la vida del líder de ciberseguridad alineado con el negocio.

Para obtener más información

• Vea los puntos adicionales más destacados del estudio aquí.
• Visite nuestra página web para obtener más información. 
• Descargue el estudio completo, El ascenso del ejecutivo de seguridad alineado con el negocio.
• Lea el blog, Alineación de la ciberseguridad y los negocios: nadie dijo que fuera fácil.
• Descargue el documento técnico, Qué se necesita para ser un ejecutivo de seguridad alineado con los negocios.