¿Cuáles son las malas noticias? Hay una desconexión entre los negocios y la ciberseguridad. ¿Cuáles son las buenas noticias? Alinear esas dos áreas puede marcar toda la diferencia.
Si usted se ha desempeñado como CISO, CSO o líder de ciberseguridad durante algún tiempo, es probable que algún CEO, miembro de la junta o alto ejecutivo le haya preguntado frecuentemente: "¿qué tan seguros estamos?". Y usted sabe que responder a esta pregunta no es tan fácil como parece.
En momentos en que los riesgos para las empresas cambian rápidamente (pandemia, crisis económica y trabajo remoto), los ataques cibernéticos y las amenazas, que prosperan en todo el mundo, no sólo potencian cada riesgo, sino que han hecho que el tema de la ciberseguridad esté bajo el escrutinio de la junta. Sin embargo, quienes estamos en el frente de batalla, luchamos contra muchos desafíos que dificultan el proporcionar a nuestros líderes de negocios un panorama claro de la postura de ciberseguridad de nuestra organización.
Para hacer más evidentes algunos de estos desafíos clave y ayudar a los líderes de seguridad a establecer un valioso diálogo con sus colegas del área de negocios, Tenable encomendó a Forrester Consulting la aplicación de una encuesta en línea a 416 ejecutivos de seguridad y a 425 ejecutivos de negocios, además de encargarle un estudio con los hallazgos de dicha encuesta para analizar las estrategias y prácticas de ciberseguridad en empresas medianas y grandes. El estudio derivado de la encuesta, El ascenso del ejecutivo de seguridad alineado con el negocio, revela una desconexión entre las expectativas de las empresas y las realidades con las que se deparan los líderes de seguridad. Pero también revela la que puede ser la mayor oportunidad que tienen las empresas digitales hoy en día, elevar el rol del CISO al nivel de los otros ejecutivos.
El futuro pertenece al líder de ciberseguridad alineado con los negocios
El estudio revela cuatro temas clave:
- Las amenazas de ciberseguridad prosperan en un clima de incertidumbre, lo que hace que sean un tema digno de considerarse a nivel de la junta directiva. La gran mayoría de las organizaciones (94 %) sufrieron al menos un ataque cibernético o un riesgo que impactó su negocio* durante los últimos 12 meses. Aproximadamente dos tercios (65 %) dijeron que estos ataques involucraron activos de tecnología operativa (OT).
- Los líderes de negocios desean un panorama claro de la postura de ciberseguridad de su organización, pero sus contrapartes en el área de seguridad tienen problemas para proporcionárselo. Solo cuatro de cada diez líderes de seguridad dicen que pueden responder con un alto nivel de confianza a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". La falta de datos consolidados y del contexto de negocios asociado contribuye a empeorar los retos a los que se enfrentan los tomadores de decisiones en el área de ciberseguridad.
- Hay una desconexión en cómo comprende y gestiona el riesgo cibernético el área de negocios. Menos del 50 % de los líderes de seguridad planteó el impacto de las amenazas a la ciberseguridad dentro del contexto de un riesgo específico para el negocio. Solo la mitad de los líderes de seguridad (51 %) dijo que su organización trabaja con los integrantes del área de negocios para alinear los objetivos de costos, desempeño y reducción de riesgo de acuerdo con las necesidades del negocio. Sólo cuatro de cada diez líderes de seguridad (43 %) informaron que revisan periódicamente las métricas de desempeño de la organización de seguridad con los integrantes del área de negocios.
- La ciberseguridad debe evolucionar como una estrategia de negocios. Esto no será posible hasta que los líderes de seguridad tengan una mejor visibilidad hacia su superficie de ataque. Solo poco más de la mitad de los líderes de seguridad informó que su organización de seguridad tiene una comprensión y una evaluación integrales de toda la superficie de ataque de su organización, y menos del 50 % de las organizaciones de seguridad usa métricas de amenazas contextuales para medir el riesgo cibernético de su organización. Esto provoca que se limite su capacidad de analizar los riesgos cibernéticos, y de priorizar y ejecutar correcciones con base en la criticidad del negocio y el contexto de las amenazas.
Según el estudio, cuando los líderes de seguridad y de negocios están alineados en torno a datos acordados de riesgo para el negocio, logran resultados relevantes y demostrables. El líder de seguridad alineado con el negocio tiene ocho veces más probabilidad de tener confianza en su capacidad de informar el nivel de seguridad o de riesgo de su organización, en comparación con sus colegas que trabajan aisladamente. Es incluso más importante en el panorama económico actual, donde hay una crisis económica que hace que las organizaciones reevalúen sus gastos: 85 % de los líderes de seguridad alineados con el negocio tiene métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el desempeño del negocio, en comparación con tan solo el 25 % de sus colegas más reactivos y que trabajan aisladamente.
Como dijo Dan Bowden, CISO de Sentara Healthcare, en una entrevista con Tenable el año pasado: “En una coyuntura en la que la sociedad se concentra tanto en las compañías que gestionan mejor el riesgo, todos los equipos directivos y todas las juntas directivas de las organizaciones quieren participar en la reparación del problema. Si puede proporcionarles buenos datos sobre la exposición y qué es lo que necesitan hacer realmente, ellos podrán comprender y analizar los datos. Quieren participar para ayudarle a resolver el problema y gestionar mejor el riesgo”.
"En una coyuntura en la que la sociedad se enfoca tanto en las compañías que gestionan mejor el riesgo, todos los equipos directivos y todas las juntas directivas de las organizaciones quieren participar en la reparación del problema". - Dan Bowden, CISO, Sentara Healthcare
Para lograr esa alineación, los CISOs y otros líderes de seguridad y gestión de riesgos necesitan la combinación adecuada de tecnología, datos, procesos y personas. Por ejemplo, la gran mayoría de las organizaciones alineadas con los negocios (80 %) tiene un director de información de negocios (BISO) o alguien en un cargo similar, en comparación con sólo el 35 % de sus contrapartes menos alineadas. El estudio también revela que los líderes de seguridad alineados con el negocio superan a sus contrapartes, que son más reactivos y trabajan aisladamente, al automatizar procesos de evaluación de vulnerabilidades en márgenes de +49 a +66 puntos porcentuales.
En los siguientes capítulos, analizamos estos y otros hallazgos del estudio, y proporcionamos orientación sobre cómo Tenable puede ayudar a su organización a abordar los desafíos de tecnología y de datos que hay detrás de esta desconexión. En el Capítulo 1, profundizaremos en los numerosos desafíos que enfrentan los líderes de seguridad cuando deben responder a la pregunta: "¿qué tan seguros estamos?". En el Capítulo 2, se brinda una visión extremadamente actual de cómo las organizaciones respondieron a la COVID-19 para explicar cómo se manifiesta en la vida real la desconexión entre el área de negocios y el área de ciberseguridad. En el Capítulo 3, analizamos cómo las métricas de ciberseguridad existentes no son suficientes para proporcionar a los CISOs y otros líderes de seguridad los datos que necesitan a fin de abordar el riesgo para el negocio. Y en el Capítulo 4 y Capítulo 5, hablaremos de cómo es el ejercicio de la ciberseguridad alineada con el negocio y de cómo puede comenzar a implementarla en su organización. Además, proporcionaremos consejos y recomendaciones para transformar su rol, a fin de que sea el de un líder de ciberseguridad alineado con el negocio.
—Robert Huber, Director de Seguridad, Tenable *Para los fines de este estudio, ”impacto en el negocio” tiene que ver con un ataque cibernético o riesgo que provocó uno o más de los siguientes hechos: pérdida de datos de clientes, de empleados o confidenciales; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto; y/o robo de propiedad intelectual.Cómo pueden las organizaciones medir el riesgo cibernético de manera objetiva
Mediante la adopción de las mejores prácticas de gestión de Cyber Exposure , las organizaciones pueden reducir más eficazmente los silos funcionales e introducir un lenguaje común para hablar sobre el riesgo, que lo comprendan tanto los equipos de negocios como los de seguridad. Con Tenable, las organizaciones pueden evaluar, gestionar y, en última instancia, reducir su riesgo cibernético de manera integral a lo largo de la superficie de ataque moderna. La Cyber Exposure proporciona los medios para que las organizaciones midan su riesgo cibernético de manera objetiva —tanto internamente como en comparación con los competidores del sector— a fin de ayudar a guiar la toma de decisiones estratégica y alinear mejor las iniciativas de seguridad con los objetivos del negocio. Del mismo modo que otras funciones cuentan con un sistema de registro, como la gestión de servicios de tecnología de la información (ITSM) para la TI y la gestión de relaciones con los clientes (CRM) para las ventas, Tenable puede servir como un sistema de registro para gestionar y medir eficazmente el riesgo cibernético como un riesgo para el negocio.