Cómo volverse un líder de seguridad alineado con el negocio

¿Cuáles son las malas noticias? Hay una desconexión entre los negocios y la ciberseguridad. ¿Cuáles son las buenas noticias? Alinear esas dos áreas puede marcar toda la diferencia.

Si usted se ha desempeñado como CISO, CSO o líder de ciberseguridad durante algún tiempo, es probable que algún CEO, miembro de la junta o alto ejecutivo le haya preguntado frecuentemente: "¿qué tan seguros estamos?". Y usted sabe que responder a esta pregunta no es tan fácil como parece.

En momentos en que los riesgos para las empresas cambian rápidamente (pandemia, crisis económica y trabajo remoto), los ataques cibernéticos y las amenazas, que prosperan en todo el mundo, no sólo potencian cada riesgo, sino que han hecho que el tema de la ciberseguridad esté bajo el escrutinio de la junta. Sin embargo, quienes estamos en el frente de batalla, luchamos contra muchos desafíos que dificultan el proporcionar a nuestros líderes de negocios un panorama claro de la postura de ciberseguridad de nuestra organización.

Para hacer más evidentes algunos de estos desafíos clave y ayudar a los líderes de seguridad a establecer un valioso diálogo con sus colegas del área de negocios, Tenable encomendó a Forrester Consulting la aplicación de una encuesta en línea a 416 ejecutivos de seguridad y a 425 ejecutivos de negocios, además de encargarle un estudio con los hallazgos de dicha encuesta para analizar las estrategias y prácticas de ciberseguridad en empresas medianas y grandes. El estudio derivado de la encuesta, El ascenso del ejecutivo de seguridad alineado con el negocio, revela una desconexión entre las expectativas de las empresas y las realidades con las que se deparan los líderes de seguridad. Pero también revela la que puede ser la mayor oportunidad que tienen las empresas digitales hoy en día, elevar el rol del CISO al nivel de los otros ejecutivos.

El futuro pertenece al líder de ciberseguridad alineado con los negocios

El estudio revela cuatro temas clave:

1. Las amenazas de ciberseguridad prosperan en un clima de incertidumbre, lo que hace que sean un tema digno de considerarse a nivel de la junta directiva. La gran mayoría de las organizaciones (94 %) sufrieron al menos un ataque cibernético o un riesgo que impactó su negocio* durante los últimos 12 meses. Aproximadamente dos tercios (65 %) dijeron que estos ataques involucraron activos de tecnología operativa (OT).
2. Los líderes de negocios desean un panorama claro de la postura de ciberseguridad de su organización, pero sus contrapartes en el área de seguridad tienen problemas para proporcionárselo. Solo cuatro de cada diez líderes de seguridad dicen que pueden responder con un alto nivel de confianza a la pregunta: "¿qué tan seguros, o en riesgo, estamos?". La falta de datos consolidados y del contexto de negocios asociado contribuye a empeorar los retos a los que se enfrentan los tomadores de decisiones en el área de ciberseguridad.
3. Hay una desconexión en cómo comprende y gestiona el riesgo cibernético el área de negocios. Menos del 50 % de los líderes de seguridad planteó el impacto de las amenazas a la ciberseguridad dentro del contexto de un riesgo específico para el negocio. Solo la mitad de los líderes de seguridad (51 %) dijo que su organización trabaja con los integrantes del área de negocios para alinear los objetivos de costos, desempeño y reducción de riesgo de acuerdo con las necesidades del negocio. Sólo cuatro de cada diez líderes de seguridad (43 %) informaron que revisan periódicamente las métricas de desempeño de la organización de seguridad con los integrantes del área de negocios.
4. La ciberseguridad debe evolucionar como una estrategia de negocios. Esto no será posible hasta que los líderes de seguridad tengan una mejor visibilidad hacia su superficie de ataque. Solo poco más de la mitad de los líderes de seguridad informó que su organización de seguridad tiene una comprensión y una evaluación integrales de toda la superficie de ataque de su organización, y menos del 50 % de las organizaciones de seguridad usa métricas de amenazas contextuales para medir el riesgo cibernético de su organización. Esto provoca que se limite su capacidad de analizar los riesgos cibernéticos, y de priorizar y ejecutar correcciones con base en la criticidad del negocio y el contexto de las amenazas.

Según el estudio, cuando los líderes de seguridad y de negocios están alineados en torno a datos acordados de riesgo para el negocio, logran resultados relevantes y demostrables. El líder de seguridad alineado con el negocio tiene ocho veces más probabilidad de tener confianza en su capacidad de informar el nivel de seguridad o de riesgo de su organización, en comparación con sus colegas que trabajan aisladamente. Es incluso más importante en el panorama económico actual, donde hay una crisis económica que hace que las organizaciones reevalúen sus gastos: 85 % de los líderes de seguridad alineados con el negocio tiene métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el desempeño del negocio, en comparación con tan solo el 25 % de sus colegas más reactivos y que trabajan aisladamente.

Como dijo Dan Bowden, CISO de Sentara Healthcare, en una entrevista con Tenable el año pasado: “En una coyuntura en la que la sociedad se concentra tanto en las compañías que gestionan mejor el riesgo, todos los equipos directivos y todas las juntas directivas de las organizaciones quieren participar en la reparación del problema. Si puede proporcionarles buenos datos sobre la exposición y qué es lo que necesitan hacer realmente, ellos podrán comprender y analizar los datos. Quieren participar para ayudarle a resolver el problema y gestionar mejor el riesgo”.

"En una coyuntura en la que la sociedad se enfoca tanto en las compañías que gestionan mejor el riesgo, todos los equipos directivos y todas las juntas directivas de las organizaciones quieren participar en la reparación del problema". - Dan Bowden, CISO, Sentara Healthcare

Para lograr esa alineación, los CISOs y otros líderes de seguridad y gestión de riesgos necesitan la combinación adecuada de tecnología, datos, procesos y personas. Por ejemplo, la gran mayoría de las organizaciones alineadas con los negocios (80 %) tiene un director de información de negocios (BISO) o alguien en un cargo similar, en comparación con sólo el 35 % de sus contrapartes menos alineadas. El estudio también revela que los líderes de seguridad alineados con el negocio superan a sus contrapartes, que son más reactivos y trabajan aisladamente, al automatizar procesos de evaluación de vulnerabilidades en márgenes de +49 a +66 puntos porcentuales.

En los siguientes capítulos, analizamos estos y otros hallazgos del estudio, y proporcionamos orientación sobre cómo Tenable puede ayudar a su organización a abordar los desafíos de tecnología y de datos que hay detrás de esta desconexión. En el Capítulo 1, profundizaremos en los numerosos desafíos que enfrentan los líderes de seguridad cuando deben responder a la pregunta: "¿qué tan seguros estamos?". En el Capítulo 2, se brinda una visión extremadamente actual de cómo las organizaciones respondieron a la COVID-19 para explicar cómo se manifiesta en la vida real la desconexión entre el área de negocios y el área de ciberseguridad. En el Capítulo 3, analizamos cómo las métricas de ciberseguridad existentes no son suficientes para proporcionar a los CISOs y otros líderes de seguridad los datos que necesitan a fin de abordar el riesgo para el negocio. Y en el Capítulo 4 y Capítulo 5, hablaremos de cómo es el ejercicio de la ciberseguridad alineada con el negocio y de cómo puede comenzar a implementarla en su organización. Además, proporcionaremos consejos y recomendaciones para transformar su rol, a fin de que sea el de un líder de ciberseguridad alineado con el negocio.

—Robert Huber, Director de Seguridad, Tenable *Para los fines de este estudio, ”impacto en el negocio” tiene que ver con un ataque cibernético o riesgo que provocó uno o más de los siguientes hechos: pérdida de datos de clientes, de empleados o confidenciales; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto; y/o robo de propiedad intelectual.

Cómo pueden las organizaciones medir el riesgo cibernético de manera objetiva

Mediante la adopción de las mejores prácticas de gestión de Cyber Exposure , las organizaciones pueden reducir más eficazmente los silos funcionales e introducir un lenguaje común para hablar sobre el riesgo, que lo comprendan tanto los equipos de negocios como los de seguridad. Con Tenable, las organizaciones pueden evaluar, gestionar y, en última instancia, reducir su riesgo cibernético de manera integral a lo largo de la superficie de ataque moderna. La Cyber Exposure proporciona los medios para que las organizaciones midan su riesgo cibernético de manera objetiva —tanto internamente como en comparación con los competidores del sector— a fin de ayudar a guiar la toma de decisiones estratégica y alinear mejor las iniciativas de seguridad con los objetivos del negocio. Del mismo modo que otras funciones cuentan con un sistema de registro, como la gestión de servicios de tecnología de la información (ITSM) para la TI y la gestión de relaciones con los clientes (CRM) para las ventas, Tenable puede servir como un sistema de registro para gestionar y medir eficazmente el riesgo cibernético como un riesgo para el negocio.

Más información

La ciberseguridad pocas veces está completamente integrada en la estrategia de negocios, y necesita estarlo.

Imagínese esto: se dio a conocer una vulnerabilidad que acapara los titulares. Está en todos los noticieros y en las redes sociales. Involucra software utilizado por casi todos los negocios en el planeta. La junta exige respuestas y los altos ejecutivos buscan desesperadamente una solución. Su CEO convoca a una reunión de emergencia. Lo primero que le pregunta a usted es: "¿Qué tan seguros, o en riesgo, estamos?"

¿Está preparado para responder?

Si es así, es uno de los afortunados. El estudio de Forrester Consulting, El ascenso del ejecutivo de seguridad alineado con el negocio, reveló que cuatro de cada diez líderes de seguridad dijeron que pueden responder con un alto nivel de confianza a la pregunta: "¿qué tan seguros, o en riesgo, estamos?".

Si usted ha pasado más de un minuto en funciones de ciberseguridad, sabe por qué contestar a esta pregunta es mucho más difícil de lo que parece.

Claro, usted puede proporcionar datos sobre cuántos sistemas se ven afectados y qué tan rápidamente su equipo puede corregirlos. Pero todos estos datos no darán a su CEO las respuestas que busca. Lo que realmente desea saber es: ¿nuestra capacidad de cumplir con el valor principal de nuestro negocio se verá afectada negativamente como consecuencia de esta vulnerabilidad?

Al final de cuentas, lo más probable es que sus altos ejecutivos no sean expertos en ciberseguridad y, mucho menos, expertos en vulnerabilidades. Lo que realmente desean saber es: "¿Qué impacto tiene nuestra práctica de ciberseguridad en la creación de valor para el negocio?".

El estudio de Consulting Forrester revela una desconexión en cómo los negocios comprenden y gestionan el riesgo cibernético. Por ejemplo, un alarmante 66 % de los líderes de negocios —como mucho— confía parcialmente en la capacidad de su equipo de seguridad para cuantificar el nivel de riesgo o de seguridad en su organización. El estudio también revela que:

• Menos del 50 % de los líderes de seguridad planteó el impacto de las amenazas a la ciberseguridad dentro del contexto de un riesgo específico para el negocio.
• Solo la mitad de los líderes de seguridad (51 %) dijo que su organización trabaja con los integrantes del área de negocios para alinear los objetivos de costos, desempeño y reducción de riesgo con las necesidades del negocio.
• Solo el 43 % de los líderes de seguridad afirmó que examina periódicamente las métricas de desempeño de la organización de seguridad junto con los integrantes del área de negocios.
• Menos de la mitad de los líderes de seguridad (47 %) consulta con mucha frecuencia a los ejecutivos de negocios cuando desarrolla su estrategia de ciberseguridad. Por otra parte, cuatro de cada diez ejecutivos de negocios (42 %) raramente consultan —si alguna vez lo hacen— a los líderes de seguridad cuando desarrollan las estrategias de negocios de sus organizaciones.
• Sólo el 54 % de los líderes de seguridad y el 42 % de los ejecutivos del área de negocios dijeron que sus estrategias de ciberseguridad están completa o estrechamente alineadas con los objetivos del negocio.

Comprensión del contexto de negocios

Llegar al contexto de negocios del riesgo cibernético no es fácil, y las respuestas varían de una organización a otra. A fin de proporcionar contexto de negocios, seguridad y gestión de riesgo, los líderes deben ser capaces de responder a dos preguntas clave:

1. ¿Cuál es la principal razón de ser de su organización? En el sector de fabricación, la respuesta puede ser la elaboración de componentes para obtener ganancias. En los servicios de cuidado de la salud, la respuesta puede ser el suministro de atención médica a los pacientes. En el gobierno, la respuesta puede ser proporcionar un servicio al público, como la emisión de licencias de conducir o la recolección de basura.
2. ¿Cuál de sus activos de TI es fundamental para cumplir con esa razón esencial de ser? Por ejemplo, ¿hay algún sistema ERP o una aplicación o base de datos de registros médicos que, si perdiera la conexión a Internet, causaría que las operaciones de negocios se paralicen? ¿Hay grupos de usuarios cuyas computadoras, si se pusieran en riesgo, expondrían propiedad intelectual clave o datos confidenciales que podrían impedir que la organización cumpla con esa creación de valor fundamental? ¿Hay algún un entorno en la nube que, si perdiera la conexión a Internet, podría arruinar un importante servicio web orientado al cliente, como banca electrónica o sitio de comercio electrónico?

La gestión de activos y las bases de datos de configuración existentes no lo llevarán muy lejos a la hora de responder estas preguntas del negocio. Para empezar, los inventarios de activos y la gestión de configuración son operaciones bastante estáticas. La mayoría de las organizaciones están limitadas a realizar una evaluación anual de riesgos o un análisis de impacto en el negocio de las funciones de negocios críticas. Dicho planteamiento estático es apenas suficiente para captar las realidades de la superficie de ataque moderna, que comprende una combinación dinámica de TI local y basada en la nube, Internet de las cosas (IoT) y tecnología operativa (OT).

La gestión de activos y las bases de datos de configuración existentes no lo llevarán muy lejos a la hora de responder las preguntas del negocio.

Por ejemplo, en la mayoría de las organizaciones grandes, los servicios en la nube se arrancan y apagan todos los días, según sea necesario. Los activos de cómputo se agregan y eliminan constantemente, en la medida en que los empleados se incorporan o abandonan una organización. Las aplicaciones y el software se aplican y actualizan de forma ininterrumpida, a medida que cambian las necesidades del negocio. Y, en respuesta a la pandemia de la COVID-19, una gran cantidad de empleados de todo el mundo cambió a un modelo de trabajo desde casa, que probablemente establezca un nuevo paradigma para la forma en que operan los negocios. Los negocios de hoy se mueven al ritmo del comercio digital, y es difícil mantener actualizados los inventarios de activos. Por estas razones, los líderes de seguridad tienen que utilizar las herramientas a su disposición para desarrollar una comprensión tan completa como sea posible de la criticidad de sus activos.

Junto con la labor de identificar los activos críticos de su negocio, también debe ser capaz de priorizar, de las decenas de miles de amenazas y vulnerabilidades que enfrenta su organización cada año, cuáles representan realmente el mayor riesgo para los activos más importantes. Los líderes de seguridad necesitan equilibrar la amenaza de una vulnerabilidad, o de un método de ataque, con el impacto en el negocio de la corrección o mitigación. Básicamente, usted necesita comprender qué tan expuesto está al problema, con qué rapidez puede resolverlo mediante el uso de los robustos procesos establecidos y qué efecto tendría en el valor principal de su negocio no hacer nada o abordar el problema.

Cuando una nueva vulnerabilidad que aparezca en las noticias atraiga la atención de los altos ejecutivos de su empresa, ¿usted estará listo para actuar?

Al final de cuentas, lo más probable es que sus altos ejecutivos no sean expertos en ciberseguridad y, mucho menos, expertos en vulnerabilidades. Lo que realmente desean saber es: "¿Qué impacto tiene nuestra práctica de ciberseguridad en la creación de valor para el negocio?". Un abordaje alineado con el negocio —con el que usted puede evaluar con confianza cuántas vulnerabilidades son críticas para los activos que tienen el mayor efecto en las principales áreas de negocios— le permite desarrollar una respuesta clara a la pregunta: "¿qué tan seguros, o en riesgo, estamos?”.

Preparación para responder: "¿estamos en riesgo?"

Como le diría cualquier profesional del área de seguridad de la información: "No puede proteger lo que no sabe que tiene". Es difícil lograr una comprensión fundamental de su riesgo cibernético sin una comprensión completa de los activos de su entorno. Además, si no comprende el papel que desempeña cada activo en el respaldo a las funciones críticas del negocio, será imposible medir el impacto de la desconexión de un sistema para colocar parches contra una vulnerabilidad, o decidir si vale la pena o no abordar un sistema en particular. Entonces, ¿por dónde debe comenzar?

1. Comprenda el entorno de su negocio. Trabaje con sus socios de negocios para comprender, identificar y priorizar los servicios y las aplicaciones que necesitan protección. Si todo es importante, en realidad nada lo es. Sin esta información, no puede discernir qué partes del negocio pueden verse afectadas por un exploit, y será casi imposible saber con quién debe trabajar en caso de que surja un problema.
2. Evalúe continuamente todos sus activos. La mayoría de los escáneres tradicionales se desarrollaron para entornos de TI convencionales y no están diseñados para detectar vulnerabilidades en los aspectos más dinámicos de la superficie de ataque moderna, incluyendo los entornos de nube, OT y contenedores. Lo más conveniente es que se actualice a una solución completa que ofrezca escaneo activo, monitoreo pasivo, agentes, conectores e integraciones. El objetivo es evaluar lo más posible de su entorno, sin importar dónde residen los activos, en qué entorno se encuentran, si están o no dentro del alcance de las auditorías o con qué frecuencia se conectan a la red.
3. Incorpore contexto de negocios etiquetando los activos con metadatos descriptivos. Use etiquetas para identificar los activos críticos para el negocio. El etiquetado permite medir el riesgo por entidad de negocios (¿qué "trabajo" respaldan estos activos?) o por equipo (¿con quién debo trabajar para corregir los posibles problemas?). Con Tenable, puede etiquetar los activos tanto automáticamente (usando reglas) como de forma manual.
4. Priorice las vulnerabilidades en función del riesgo y determine la acción. Junto con la labor de identificar los activos críticos de su negocio, también debe ser capaz de priorizar cuáles de las amenazas y vulnerabilidades que enfrenta su organización representan el mayor riesgo para los activos más importantes. Los líderes de seguridad necesitan equilibrar la amenaza de una vulnerabilidad, o de un método de ataque, con el impacto en el negocio de la corrección o mitigación. Usted debe predecir cuáles de los muchos miles de nuevas vulnerabilidades que aparecen cada año es más probable que exploten los atacantes, qué tan expuesto está a esas vulnerabilidades, con qué rapidez puede abordarlas mediante los procesos de corrección que tiene establecidos y qué efecto tendría en el valor principal de su negocio no hacer nada o abordar el problema.

A medida que las organizaciones de todo el mundo se apresuraban a desarrollar estrategias para responder a la pandemia de la COVID-19, era evidente que el área de ciberseguridad no tenía voz en las decisiones.

Se sabe que los delincuentes cibernéticos convergen en torno a las noticias más importantes —ya sea una crisis global o una vulnerabilidad que acapare los titulares, como WannaCry— para diseminar malware y perpetrar estafas de phishing. En 2020, ninguna noticia ocupó los titulares como el surgimiento de la COVID-19, una enfermedad transmitida por un virus que provocó una pandemia mundial. La crisis tomó por sorpresa a muchas organizaciones y puso de manifiesto cómo la falta de preparación para la respuesta ante desastres y la continuidad del negocio, combinada con la falta de alineación entre los líderes de negocios y de seguridad, pone en peligro a las organizaciones.

Aunque casi todos los encuestados del estudio encomendado a Forrester Consulting (96 %) dijeron que sus organizaciones habían desarrollado estrategias de respuesta a la COVID-19, la gran mayoría (75 %) dijo que los esfuerzos de las áreas de negocios y de seguridad estaban apenas "un poco" alineados, en el mejor de los casos.

Esto es sumamente preocupante en un momento en el que la adopción repentina y generalizada de modelos de trabajo desde el hogar en respuesta a la pandemia hace que haya una enorme cantidad de dispositivos de los usuarios finales en las redes corporativas. Los escritorios remotos, que antes eran una oferta interesante para un grupo selecto de trabajadores, ahora son herramientas esenciales que muchos empleados deben utilizar para mantener las organizaciones en funcionamiento. De forma repentina, los empleados se conectaron a los sistemas y las aplicaciones centrales del negocio, utilizando sus propios enrutadores y redes domésticas, que no han sido probados antes y son potencialmente vulnerables. La popularidad de los dispositivos de Internet de las cosas (IoT) los convierte en potenciales vectores de amenazas. La red doméstica promedio podría incluir el dispositivo Alexa de Amazon u otra herramienta activada por voz, televisores conectados a Internet y dispositivos de videojuegos, sin mencionar la diversidad de computadoras portátiles, tabletas y teléfonos de los cónyuges, hijos u otras personas del hogar.

Aproximadamente la mitad de los líderes de ciberseguridad encuestados por Forrester Consulting (48 %) dijeron que solo tienen una visibilidad moderada o nula hacia sus empleados remotos que trabajan desde casa.

Brookings Institute estima que, al 9 de abril de 2020, casi la mitad de los trabajadores estadounidenses trabajaba desde el hogar, fenómeno que llama "un cambio masivo". De hecho, un estudio de Pew Research muestra que, antes de la pandemia, solo el 7 % de los trabajadores civiles de los Estados Unidos —unos 9,8 millones de los aproximadamente 140 millones de trabajadores civiles de la nación— tenían acceso al beneficio de un "lugar de trabajo flexible" o a la opción de teletrabajo.

Y los delincuentes cibernéticos se están lanzando sobre los trabajadores remotos para aprovechar la expansión exponencial de la superficie de ataque. Según el estudio de Forrester, a mediados de abril de 2020, cuatro de cada diez organizaciones (41 %) ya habían sufrido al menos un ataque cibernético con impacto en el negocio*, como resultado de una estafa de phishing o de malware relacionado con la COVID-19. De hecho, las estafas relacionadas con la COVID fueron la causa principal de todos los ataques cibernéticos con impacto en el negocio informados en el estudio. Aunque la Organización Mundial de la Salud había declarado la pandemia de la COVID-19 apenas unas semanas antes, cuando se realizó la encuesta, los ataques relacionados con la COVID ya habían superado a otros ataques con impacto en el negocio, como el fraude (40 %), la filtración de datos (37 %), el ransomware (36 %) y las vulnerabilidades del software (34 %).

Los líderes de ciberseguridad están comprensiblemente preocupados por estas tendencias. Dos de cada tres encuestados del estudio de Forrester (67 %) dijeron que estaban muy o extremadamente preocupados por el probable aumento del nivel de riesgo de sus organizaciones, debido a los cambios en la fuerza de trabajo que requieren las medidas de distanciamiento social para prevenir la COVID-19.

Para colmo, aproximadamente la mitad de los líderes de ciberseguridad encuestados (48 %) dijeron que solo tienen una visibilidad moderada o nula hacia los empleados remotos que trabajan desde casa.

Una de las formas clave de superar esta desconexión es que las organizaciones involucren al área de ciberseguridad cuando elaboren estrategias de gestión de riesgo.

Cómo la gestión de riesgo puede ayudarle a convertirse en un líder de ciberseguridad alineado con el negocio

Los CISOs, CSOs y otros líderes de ciberseguridad están especialmente capacitados para asumir un papel más importante en la gestión de riesgo y las disciplinas relacionadas de continuidad del negocio, recuperación ante desastres y gestión de crisis. Su trabajo lo pone directamente en la intersección de la tecnología y los negocios. Tiene visibilidad hacia todos los sistemas, datos y procesos necesarios para cumplir con un plan de continuidad del negocio y recuperación ante desastres. Estar involucrado en la gestión de riesgo también puede hacer que su trabajo sea un poco más controlable: Si usted puede comprender todos sus procesos y activos críticos desde una perspectiva amplia de los riesgos para la empresa, esto también le permitirá fortalecer la ciberseguridad.

Además, se puede obtener un claro beneficio operativo si se realizan ejercicios de gestión de riesgo que puedan servir de puente entre el lado de los negocios y el lado de InfoSec de la organización. Lo que se revele en el proceso ayudará a toda la organización a comprender cómo priorizar mejor los recursos —tanto humanos como financieros— a fin de mantener el negocio en funcionamiento, incluso durante una crisis.

Si usted puede comprender todos sus procesos y activos críticos desde una perspectiva amplia de los riesgos para la empresa, esto también le permitirá fortalecer la ciberseguridad.

En un momento en el que las organizaciones se enfrentan a un período potencialmente prolongado de incertidumbre económica, es más importante que nunca priorizar las inversiones en función del riesgo. El estudio muestra que cuando el área de seguridad y el área de negocios están alineadas, producen resultados importantes. Por ejemplo, el 85 % de los líderes de seguridad alineados con el negocio tiene métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el desempeño del negocio, en comparación con tan solo un cuarto (25 %) de sus colegas más reactivos y que trabajan aisladamente.

Involucrarse en el desarrollo de la estrategia de gestión de riesgo empresarial (ERM) de su organización lo pondrá en el camino hacia convertirse en un líder de ciberseguridad alineado con el negocio.

Estos seis pasos le ayudarán en la identificación y evaluación iniciales de los riesgos para la empresa:

1. Elabore una encuesta de evaluación de riesgos y distribúyala a las partes interesadas clave. Por lo general, estas se envían al nivel de los altos directivos y los directivos superiores. Además, debe incluir a representantes de todos los departamentos principales de su organización, incluyendo el Departamento Legal, de Finanzas, de Recursos Humanos, Tecnología de la Información, Seguridad de la Información, Ventas, Operaciones, Marketing e Investigación y Desarrollo. Una vez concluida su encuesta, será conveniente organizar las respuestas en categorías de riesgo para poder compilar un inventario de los riesgos empresariales.
2. Realice investigaciones y análisis para comparar los riesgos empresariales de su organización con las encuestas de riesgo de la industria.
3. Elabore una metodología de evaluación de riesgos, incluyendo probabilidad e impacto, para obtener una clasificación total de los riesgos.
4. Identifique a los líderes clave de su organización, y dedique tiempo a entrevistarlos para conocer su opinión sobre los riesgos y la priorización, así como también sobre la probabilidad de los riesgos y su impacto.
5. Presente los resultados de su evaluación de riesgos a los ejecutivos para ponerse de acuerdo sobre los principales riesgos y asignar los responsables ejecutivos para cada riesgo.
6. Trabaje con los responsables ejecutivos a fin de identificar las actividades de mitigación para los principales riesgos.

La realización de los pasos anteriores es un ejercicio meticuloso que aporta muchos beneficios, ya que proporciona un conjunto claro de prioridades. Tendrá una lista acordada de los riesgos para la empresa. Si bien es probable que la ciberseguridad constituya en sí misma un riesgo empresarial independiente, sin dudas afecta de alguna forma a muchos riesgos empresariales, si no a todos.

Combine la evaluación de riesgos del negocio con un análisis del impacto en el negocio; son esenciales para la continuidad del negocio y la recuperación ante desastres, ya que determinan cuáles son los sistemas y los procesos de negocios críticos de los que su organización no puede prescindir. Ambos sirven de base para desarrollar una estrategia de ciberseguridad alineada con el negocio. Obtendrá una lista de los riesgos y los procesos más críticos de la empresa, lo que permite priorizar claramente las respuestas, tanto en un momento de crisis —independientemente de si la crisis es el resultado de un ataque cibernético, un desastre natural o una pandemia mundial— como cuando se reanuden normalmente las operaciones de negocios.

En épocas estables, es demasiado fácil para las organizaciones tratar la gestión de riesgo empresarial como si fuera un mero ejercicio de marcar listas de verificación que es mejor dejar en manos de un equipo segregado de profesionales. Con la COVID-19, los líderes de negocios y de tecnología se vieron apuntados en un curso intensivo de gestión de crisis. Vale la pena tomar este momento como una oportunidad para replantear su abordaje del riesgo empresarial, a fin de estar mejor preparado para los tiempos de inactividad y bien posicionado para beneficiarse cuando las cosas van bien.

Para los fines de este estudio, "impacto en el negocio" tiene que ver con un ataque cibernético o riesgo que provocó uno o más de los siguientes hechos: pérdida de datos de clientes, de empleados o confidenciales; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto; y/o robo de propiedad intelectual.

Manejo de su postura de seguridad en momentos de cambios acelerados

En épocas de cambio acelerado, es especialmente importante comprender cómo las nuevas estrategias de negocios pueden ampliar simultáneamente la superficie de ataque de su organización e introducir nuevos riesgos. Como líder de seguridad, debe ser capaz de medir el impacto de estos cambios en su postura de seguridad y, a la vez, de comunicar esta información a sus socios en toda la organización, en términos que puedan comprender.

Para cumplir con ambas necesidades, Tenable creó Cyber Exposure Score, un índice simple y objetivo que representa la intersección del riesgo técnico y el riesgo para el negocio. La puntuación CES está respaldada por la ciencia de los datos y se actualiza en forma automática mediante algoritmos de aprendizaje automático que combinan los datos de vulnerabilidades con otros indicadores de riesgo, como la inteligencia de amenazas y la criticidad de los activos. La puntuación combina el Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) de Tenable, que mide la probabilidad de explotabilidad y su impacto potencial, junto con nuestro Índice de Criticidad del Activo (Asset Criticality Rating, ACR), que da seguimiento al valor para el negocio de cada activo afectado.

Dado que la evolución del escenario de las amenazas requiere comunicación continua, Tenable también apoya una visión continua de las tendencias de Cyber Exposure. Incluimos visualizaciones de los datos para demostrar las mejoras o el deterioro a lo largo del tiempo, lo que les brinda a usted y los integrantes del área de negocios la información que necesitan sobre la eficacia del programa de seguridad. Puede mostrar la CES de su organización durante los últimos seis meses y destacar los cambios a intervalos de siete días, a fin de indicar posibles problemas. Use estos datos para graficar el progreso a lo largo del tiempo, identificar áreas problemáticas y asignar los recursos según corresponda.

Incluso con una gran cantidad de herramientas a su disposición, los líderes de InfoSec tienen dificultades para superar la desconexión entre el área de negocios y el área de seguridad.

¿Cómo comunica el contexto de los riesgos para el negocio de su programa de ciberseguridad a los altos ejecutivos de su organización?

Los líderes de seguridad y de gestión de riesgo tienen a mano un arsenal de marcos y controles con los cuales medir las facetas más granulares de sus programas. Si bien estas métricas son muy valiosas para ayudar a gestionar las operaciones cotidianas de los equipos de seguridad, no son suficientes a la hora de comunicarse con los líderes de negocios.

En el momento de interactuar con los directivos, o incluso con el comité de auditoría —que, en la mayoría de los casos, es la entidad de la junta responsable de la seguridad—, los ejecutivos desean comprender el impacto que tiene su programa de ciberseguridad en la capacidad de la organización para cumplir con su propuesta de valor principal. Sin embargo, un estudio global encomendado por Tenable a Forrester Consulting, que se realizó a más de 800 líderes de negocios y ciberseguridad, revela que el 66 % de los líderes de negocios confían —a lo sumo— parcialmente en la capacidad de su equipo de seguridad para cuantificar el nivel de riesgo o de seguridad en su organización.

Las formas actuales de medir el riesgo cibernético no proporcionan el contexto de negocios que requieren las organizaciones.

Esto no significa que los líderes de seguridad estén haciendo algo mal. Más bien, pone de manifiesto una realidad inevitable: las formas actuales de medir el riesgo cibernético no proporcionan el contexto de negocios que requieren las organizaciones. Más de la mitad de los líderes de seguridad encuestados no confiaban en tener la tecnología o los procesos adecuados para predecir las amenazas a la ciberseguridad que enfrentan sus negocios. En tanto, aproximadamente dos quintas partes no estaban seguros de tener los datos necesarios.

¿Cómo calculamos el riesgo cibernético?

El riesgo cibernético es una función de sus activos, controles de seguridad, amenazas y vulnerabilidades en un momento dado. Si no se sabe qué activos son los más críticos para el valor principal del negocio, es imposible llegar a comprender qué riesgos cibernéticos representan una amenaza real para sus negocios. Una vez que haya determinado cuáles son sus activos más críticos, el siguiente paso es comprender cuáles de las decenas de miles de amenazas y vulnerabilidades que enfrenta su organización cada año representan realmente el mayor riesgo para los activos más importantes.

La mayoría de los líderes de seguridad encuestados por Forrester Consulting (56 %) no aplican los objetivos de gestión de riesgo del negocio a sus procesos de priorización de vulnerabilidades.

De acuerdo con el estudio de Forrester, menos del 50 % de los líderes de seguridad plantea el impacto de las amenazas a la ciberseguridad dentro del contexto de un riesgo específico para el negocio. La mayoría de los líderes de seguridad encuestados (56 %) no aplican los objetivos de gestión del riesgo para el negocio a sus procesos de priorización de vulnerabilidades. Solo la mitad (51 %) dijo que su organización trabajaba estrechamente con los integrantes del área de negocios para alinear los objetivos de costos, desempeño y reducción de riesgo con las necesidades del negocio. Y solo uno de cada cuatro informó que revisaba periódicamente las métricas de desempeño de seguridad de su organización con sus colegas del área de negocios.

El estudio también revela lo siguiente:

• Más de la mitad de los líderes de seguridad (56 %) dijo que su organización no tiene una buena visibilidad hacia la seguridad de sus activos más críticos.
• Aproximadamente el 60 % de los encuestados afirmó que tenía una visibilidad alta o completa hacia las evaluaciones de riesgo de los empleados que trabajan en las instalaciones, pero solo el 52 % pudo decir lo mismo cuando los empleados trabajan en forma remota o desde su hogar.
• Solo el 51 % dijo que tiene una visibilidad alta o completa hacia los sistemas utilizados por los contratistas o socios, y el 55 % declaró lo mismo con respecto a sus proveedores externos.

No se puede calcular el riesgo cibernético sin el contexto de negocios

Estas son dos de las preguntas más comunes que hacen los líderes de negocios y la junta a los líderes de seguridad: "¿Estamos seguros?" y "¿Cómo se compara nuestro programa con el de nuestros competidores?".

Pero, a diferencia de sus colegas del área de negocios, los líderes de seguridad tienen datos objetivos limitados para desarrollar la ecuación de riesgo cibernético de los activos, los controles de seguridad, las amenazas y las vulnerabilidades que es necesaria para responder a ambas preguntas. Ningún marco existente capta la totalidad de la operación de InfoSec, lo que hace que los líderes de seguridad deban improvisar una mezcolanza de medidas. Sin una medida objetiva del contexto de negocios para cada uno de sus activos, sus cálculos de riesgo cibernético solo pueden llevarlo hasta cierto punto.

Menos de la mitad de los líderes de seguridad encuestados por Forrester Consulting consideraron que los marcos de referencia de la industria son muy eficaces para informar con precisión sobre el riesgo para el negocio.

De hecho, de acuerdo con el estudio de Forrester, menos de la mitad de los líderes de seguridad consideraron que los marcos de referencia de la industria son muy eficaces para informar con precisión sobre el riesgo para el negocio. Y más de la mitad dijo que no estaba haciendo un trabajo adecuado en la evaluación comparativa de sus controles de seguridad.

Al mismo tiempo, las variables que intervienen en la superficie de ataque de cualquier organización son muchísimas, por lo que es probable que el logro de un consenso sobre métricas de seguridad de toda la industria siga siendo un santo grial en el futuro inmediato. Ninguna organización puede afirmar que está 100 % segura. Todo lo que tiene cualquier líder de seguridad es un cálculo fundamentado de lo que se considera un nivel aceptable de riesgo, lo que le permite tomar decisiones de negocios sobre hasta dónde llegar una vez que afrontaron un nivel de exposición razonable.

Entonces, ¿cómo puede trabajar con lo que tiene para comenzar a superar la desconexión entre el área de ciberseguridad y el área de negocios?

Cómo usar los datos que tiene para llegar a donde necesite ir

El riesgo es relativo, no absoluto. Siempre habrá riesgo dentro de la empresa. La cuestión es si, al adoptar una determinada medida en el negocio, los líderes de la organización redujeron o aumentaron el riesgo. Las opciones de evaluación de seguridad disponibles actualmente le dan la capacidad de "trazar una línea", con el objetivo de tener un punto de partida desde el cual comenzar a identificar el trabajo que se necesita para seguir perfeccionando su programa de seguridad.

No existe un abordaje único que identifique los indicadores clave de riesgo que más importan para su organización. Lo único que pueden hacer los líderes de seguridad, como profesionales de la industria, es trabajar juntos para comenzar a elaborar los tipos de métricas de riesgo para el negocio que sean más significativas para los altos ejecutivos del negocio.

Con ese fin, el CSO de Tenable, Robert Huber, proporciona una lista de preguntas del mundo real que le hicieron las juntas y los altos ejecutivos a lo largo de su carrera. Tenga en cuenta estos ejemplos cuando se prepare para sus propias reuniones con los directivos de su organización.

1. ¿Cuáles son nuestros riesgos, funciones y activos más críticos y/o dónde se encuentran?
2. ¿Qué está haciendo para protegerlos?
3. ¿Qué tan maduro es nuestro programa comparado con la industria y nuestros colegas?
4. ¿Cuál es su hoja de ruta para mejorar nuestra madurez?
5. ¿Cuál es el nivel de recursos de nuestro programa de seguridad en comparación con los competidores o colegas en nuestro sector de la industria?
6. ¿Nuestras funciones más críticas para el negocio están más seguras hoy que hace un año?
7. ¿Qué estamos haciendo con respecto a (inserte aquí la última vulnerabilidad que acapara los titulares)?

Quizá las preguntas anteriores promuevan sus propias ideas sobre otros indicadores de riesgo para el negocio que valga la pena medir, para que, colectivamente, los líderes de seguridad puedan encontrar mejores formas de lograr la alineación entre el área de ciberseguridad y el área de negocios.

Introducción de un lenguaje común para comunicar su estrategia de seguridad a los líderes de negocios y a la junta

Acortar la brecha de seguridad de los negocios representa un desafío. Los líderes de seguridad deben responder de mejor manera a las preguntas de sus colegas del área de negocios. El estudio de Forrester expone claramente la necesidad de una herramienta que proporcione una medición clara y concisa del riesgo para el negocio, que los líderes de negocios puedan aprovechar para actuar, y que, a la vez, ofrezca la amplitud de funcionalidad que necesitan los equipos de seguridad. Ahí es donde Tenable Lumin entra.

• Calcule y comunique su Cyber Exposure
  Obtenga una medida objetiva del riesgo cibernético a través de Cyber Exposure Score (CES), que combina los datos de vulnerabilidades con otros indicadores de riesgo, como la inteligencia de amenazas y la criticidad de los activos. La CES puede aplicarse a cualquier grupo de activos, desde un único activo hasta todos los activos a lo largo de toda la organización. Con esta información, puede priorizar sus esfuerzos para proteger sus funciones y activos más críticos e informar sobre su progreso.
• Dé seguimiento al progreso con las "tendencias de Cyber Exposure"
  Las visualizaciones avanzadas de los datos ayudan a comprender las mejoras de las tendencias con el tiempo como medida de la eficacia del programa de seguridad. Dé seguimiento a la CES de su organización durante los últimos seis meses y destaque los cambios a intervalos de siete días, para indicar posibles problemas. Puede usar estos datos para graficar su progreso a lo largo del tiempo, identificar áreas problemáticas y asignar los recursos según corresponda.
• Compare su madurez con la de los colegas de la industria
  Las organizaciones pueden compararse con sus colegas de la industria para identificar con rapidez las deficiencias y fortalezas. Las evaluaciones comparativas están disponibles para una serie de métricas clave, como la CES y la madurez de las evaluaciones, que proporcionan una base de referencia para analizar y comparar la eficacia de sus operaciones de seguridad  con otras de la industria, así como también los promedios generales.
  
• Analice las brechas y las mejores prácticas a lo largo de toda la organización
  Dado que la CES puede aplicarse a cualquier grupo de activos, los equipos de seguridad pueden comparar los grupos operativos internos (por ejemplo, unidades de negocios, entornos informáticos, ubicaciones de sucursales). Este análisis ayuda a centrar la atención y los recursos para abordar las áreas de alta exposición e identificar las mejores prácticas en toda la organización. Las agrupaciones de activos pueden personalizarse por completo aprovechando las etiquetas existentes, lo que le permite filtrar y analizar segmentos de su organización.

Cuando el área de seguridad y el área de negocios están alineadas respecto de datos contextuales acordados, proporcionan resultados relevantes y demostrables. A continuación, explicamos cómo lograrlo.

Los líderes de ciberseguridad están abrumados por la gran cantidad de datos. Usted sabe cuántas vulnerabilidades hay. Sabe cuántos parches implementó. Puede contar todo sobre las últimas amenazas, con lujo de detalles. Sin embargo, con toda esta información a su disposición, puede que aún tenga dificultades para responder a la pregunta "¿Qué tan seguros o, en riesgo, estamos?" con un alto nivel de confianza.

¿Por qué? Porque le falta información clave: el contexto de negocios.

La ecuación típica utilizada para calcular el nivel de seguridad o de riesgo de una organización es una función de los activos, los controles de seguridad, las amenazas y las vulnerabilidades. Sin el contexto de negocios —es decir, comprender qué activos son los más críticos para la propuesta de valor principal de su negocio y qué controles de seguridad están en vigor para cada uno de esos activos—, los resultados de cualquier cálculo del riesgo de seguridad son incompletos, en el mejor de los casos.

Pero los líderes de seguridad no pueden llegar a comprender el contexto de negocios trabajando de forma aislada. Requiere un nivel de alineación estratégica entre los líderes de negocios y de ciberseguridad que no existe en la mayoría de las organizaciones. El estudio encomendado a Forrester Consulting muestra una desconexión significativa entre el área de negocios y el área de seguridad: Sólo el 54 % de los líderes de seguridad y el 42 % de los ejecutivos del área de negocios encuestados dijeron que sus estrategias de ciberseguridad están completa o estrechamente alineadas con los objetivos del negocio. Menos de la mitad de los líderes de seguridad encuestados dijeron que consultaban con mucha frecuencia a los ejecutivos de negocios cuando desarrollan su estrategia de ciberseguridad. Peor aún, cuatro de cada diez ejecutivos de negocios raramente consultan —si alguna vez lo hacen— a los líderes de seguridad cuando desarrollan las estrategias de negocios de sus organizaciones.

Solo el 54 % de los líderes de seguridad y el 42 % de los ejecutivos de negocios encuestados por Forrester Consulting, dijo que sus estrategias de ciberseguridad están completa o estrechamente alineadas con los objetivos del negocio.

Sin embargo, el estudio muestra que cuando el área de negocios y el área de seguridad están alineadas, producen resultados demostrables. Por ejemplo, los líderes de seguridad alineados con el negocio presentan las siguientes características:

• Están preparados para informar sobre la seguridad y el riesgo. El líder de seguridad alineado con el negocio tiene ocho veces más probabilidad de tener confianza en su capacidad de informar el nivel de seguridad o de riesgo de su organización, en comparación con sus colegas que trabajan aisladamente.
• Están preparados para mostrar el retorno de la inversión (ROI) de sus iniciativas de seguridad. La gran mayoría de los líderes de seguridad alineados con el negocio (85 %) tiene métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el desempeño del negocio, en comparación con tan solo el 25 % de sus colegas más reactivos y que trabajan aisladamente.
• Cuentan con un proceso definido de evaluación comparativa. Casi nueve de cada diez líderes de seguridad alineados con el negocio (86 %) tienen un proceso que comunica claramente las expectativas y demuestra la mejora continua de los procesos, en relación con otros grupos internos y/o las compañías competidoras. Solo el 32 % de los colegas no alineados pueden decir lo mismo.

Eso no quiere decir que la responsabilidad de lograr la alineación recaiga en el líder de seguridad únicamente. Algunas organizaciones, por su cultura, se inclinan a crear silos. No importa cuánto se esfuerce, si trabaja para una de estas organizaciones, siempre podrá tener dificultades para alinearse con sus colegas del área de negocios.

Si no está seguro de en qué lugar del proceso continuo de la alineación se encuentra su organización, hay una forma rápida de saberlo: si tiene un ejecutivo con el cargo de Director de Seguridad de la Información de Negocios, su organización se encuentra en el extremo más maduro de la escala de alineación. De acuerdo con el estudio de Forrester, la gran mayoría de las organizaciones alineadas con el negocio (80 %) tiene un Director de Seguridad de la Información de Negocios (BISO) o alguien en un cargo similar, en comparación con solo el 35 % de sus colegas menos alineados.

Cómo volverse un líder de ciberseguridad alineado con el negocio

Si tiene la suerte de trabajar en una organización en la que la alineación entre el área de negocios y el área de ciberseguridad ya está relativamente madura, su camino hasta volverse un líder de seguridad alineado con el negocio será bastante despejado, incluso si para recorrerlo necesita un esfuerzo considerable. Sin embargo, si trabaja para una organización en el extremo inferior de la escala de madurez de la alineación, su recorrido será mucho más desafiante. Dado que no existe un abordaje único, las siguientes pautas ofrecen opciones adaptadas a cada uno de los tres niveles amplios de madurez de la alineación.

Cinco pasos para mejorar la alineación con los integrantes del área de negocios en cada nivel de madurez de la organización

Fuente: Tenable, agosto de 2020.

Volverse un líder de ciberseguridad alineado con el negocio es un maratón, no una carrera de velocidad. Requiere aprender a hablar usando la jerga de negocios y la jerga tecnológica con la misma fluidez. Pero, como señala el estudio de Forrester, "las amenazas modernas a la seguridad requieren un nuevo abordaje". El futuro pertenece a los líderes de seguridad que estén listos para gestionar la ciberseguridad como un riesgo para el negocio.

El futuro pertenece a los líderes de ciberseguridad que puedan alinear sus objetivos con la comprensión del riesgo para el negocio. A continuación, presentamos ocho acciones cotidianas que puede realizar para lograrlo.

En los capítulos anteriores, se analizó la forma en que las limitaciones de la tecnología, los procesos y los datos de que los disponen los líderes de InfoSec agravan la desconexión crónica entre el área de ciberseguridad y el área de negocios. Pero el debate estaría incompleto sin considerar también los factores humanos que están en el centro de la desconexión.

Los CISOs y otros líderes de ciberseguridad son participantes singulares en el grupo de altos ejecutivos. Usted debe comunicarse con la misma fluidez, tanto en la jerga de tecnología como en la de negocios. Sin embargo, a diferencia de sus colegas del área de finanzas o de ventas —que pueden tener una maestría en negocios u otra formación similar—, muchos líderes de ciberseguridad tienen una formación técnica, como un diploma en ciencias de la computación. Por lo general, los líderes de InfoSec ocupan puestos técnicos cuando ascienden en la jerarquía de una organización. Esto los pone en una desventaja inmediata cuando, finalmente, son altos ejecutivos o llegan a la alta dirección.

Los CISOs y otros líderes de ciberseguridad son participantes singulares en el grupo de altos ejecutivos. Usted debe comunicarse con la misma fluidez, tanto en la jerga de tecnología como en la de negocios.

La tecnología es su "lengua materna". Y las herramientas y los procesos que utilizan se basan en el lenguaje de la tecnología, lo que produce resultados que pueden comunicar claramente en su "lengua materna". La mayoría de ustedes aprendieron a hablar bastante bien el lenguaje de los negocios "como segundo idioma", pero sigue habiendo una desconexión, en parte, porque las herramientas y los marcos que necesitan para cumplir con su trabajo no se prestan a una traducción fácil.

Es el pan nuestro de cada día

Un documento de SANS Institute de 2003 expresó claramente los desafíos, que siguen siendo actuales hasta hoy: "Las responsabilidades [del CISO] son diferentes a las de cualquier otro alto ejecutivo, ni siquiera los CIOs tienen este alcance". El documento de SANS detalla las siguientes como las responsabilidades más importantes que tienen la mayoría de los CISOs:

• Actuar como representante de la organización en lo que respecta a las consultas de clientes, socios y público en general sobre la estrategia de seguridad de la organización.
• Actuar como representante de la organización en el trato con los organismos de orden público y, a la vez, buscar los orígenes de los ataques a las redes y del robo de información por parte de los empleados.
• Equilibrar las necesidades de seguridad con el plan de negocios estratégico de la organización, identificar los factores de riesgo y determinar soluciones para ambos.
• Desarrollar políticas y procedimientos de seguridad que proporcionen una protección adecuada de las aplicaciones de negocios, sin interferir en los requisitos del negocio principal.
• Planificar y probar las respuestas a las filtraciones de datos, incluyendo la posibilidad de hablar sobre el evento con clientes, socios o el público en general.
• Supervisar la selección, las pruebas, la implementación y el mantenimiento de los productos de hardware y software de seguridad, así como también los acuerdos de subcontratación.
• Supervisar un grupo de empleados responsables de la seguridad de la organización, desde los técnicos de red que gestionan dispositivos de firewall hasta los guardias de seguridad.

Dado el gran alcance del puesto, puede ser difícil saber dónde priorizar el tiempo en un día típico. La mayoría de los ejecutivos de seguridad preferirían mantenerse en la zona de confort técnica representada por los últimos tres puntos anteriores, y pasar sus días planificando la respuesta ante incidentes y supervisando las operaciones diseñadas para minimizar su probabilidad.

Pero quedarse en su zona de confort no hace que nadie esté más seguro. De acuerdo con el estudio encomendado a Forrester Consulting, el 94 % de las organizaciones sufrieron un ataque cibernético en los últimos doce meses que provocó, al menos, uno de los siguientes hechos: pérdida de datos confidenciales, de clientes o de empleados; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto y/o robo de propiedad intelectual. Y la gran mayoría de los encuestados (77 %) prevén que los ataques cibernéticos aumentarán en los próximos dos años.

El estudio también revela que el 66 % de los líderes de negocios —como mucho— confía parcialmente en la capacidad de su equipo de seguridad para cuantificar el nivel de riesgo o de seguridad en su organización.

Cómo volverse un líder de seguridad alineado con el negocio: 8 pasos

Está claro que algo tiene que cambiar. Los líderes de seguridad deben encontrar formas de mejorar la alineación con el negocio. Y eso requiere esfuerzo, todos los días. Debe ser consciente de cómo prioriza su tiempo, para asegurarse de que haya estructurado sus operaciones de forma tal que le permita tener tiempo suficiente para enfocarse en la alineación con el negocio. A continuación, presentamos ocho prácticas que puede incorporar a su día a día, y que lo conducirán al camino hacia un futuro alineado con el negocio:

1. Dedique tiempo, todos los días, a revisar los documentos públicos de su compañía. Preste atención a lo que comunican los ejecutivos de su organización a través de los estados financieros, comunicados de prensa, artículos de noticias, sitios de redes sociales y foros de la industria.
2. Agende una llamada con los ejecutivos de las diversas líneas de negocios para comprender cuáles son sus desafíos cotidianos y establecer una relación. Sepa cómo se mide su desempeño. Ayúdelos a ver la seguridad como un facilitador para sus necesidades de negocios, en lugar de un impedimento. De esta manera, es más probable que lo involucren antes en sus planes estratégicos.
3. Desarrolle un conocimiento práctico de las prioridades y los desafíos a los que se enfrentan las organizaciones de su sector de la industria. Únase a asociaciones del gremio o a otras organizaciones profesionales, lea artículos de negocios en revistas del gremio, asista a seminarios web y a otros eventos de la industria. Al hacerlo, obtendrá vocabulario de trabajo y perspectivas importantes que le ayudarán a alinear mejor sus iniciativas de seguridad con las necesidades de negocios propias de su organización.
4. Agende consultas periódicas con los altos ejecutivos y aproveche el tiempo para enterarse de cuáles son sus mayores preocupaciones. Solo comprendiendo los puntos débiles del negocio, en términos más amplios, se puede comenzar a desarrollar una comprensión integral de lo que el "riesgo" significa realmente para su organización.
5. Use las revisiones trimestrales del negocio como una excelente oportunidad de aprendizaje. Escuche atentamente las prioridades estratégicas y los puntos débiles expresados por sus colegas y considere los factores externos al negocio que influyen en ellos. Preste atención a la forma en que cada ejecutivo demuestra el retorno de sus inversiones de negocios, y encuentre formas de adaptar su propia métrica del ROI de seguridad de acuerdo con ello.
6. Cree una red de asesores de negocios de confianza. Contrate mentores de todo el espectro de negocios para proporcionarle orientación y asesoría, y que le ayuden a perfeccionar sus comunicaciones, a fin de que sean más fáciles de entender para el área de negocios.
7. Establezca relaciones con los profesionales de riesgo de su organización. La ciberseguridad es tanto un riesgo, en sí misma, como un factor importante en todas las demás conversaciones acerca de los riesgos para el negocio. Descubra cómo puede participar de forma eficaz en el desarrollo de estrategias de gestión de riesgo empresarial que mantengan la ciberseguridad en primer plano.
8. Preste atención a las relaciones con terceros que se producen a lo largo de toda la organización. Es posible que usted ya tenga un conocimiento práctico de las relaciones clave, como los proveedores de procesamiento de la nómina o de planificación de recursos empresariales. Pero ¿cuánta visibilidad tiene hacia las herramientas y las plataformas utilizadas por el equipo responsable del sitio web o los contratistas de servicio y soporte que mantienen y atienden la tecnología operativa de su organización?

Encontrar tiempo para todo lo anterior, además de desempeñar todos los otros aspectos de su función de manera eficaz, puede parecer una propuesta abrumadora. No podrá hacer todo a la vez. Elija uno o dos aspectos que tengan las mayores repercusiones para usted, y comience allí. Al tomar la decisión activa de salir de su zona de confort de la tecnología y de volverse un líder más alineado con el negocio, no solo beneficiará a su organización, sino que también mejorará su carrera. Le permitirá posicionarse para lograr tener voz y voto en el desarrollo de estrategias ante los riesgos para el negocio.

Herramientas que puede usar para alinearse con el negocio

Tenable le proporciona las herramientas para ver todo, predecir lo que importa y actuar para abordar el riesgo a lo largo de toda su superficie de ataque. El poder responder clara, concisa y fehacientemente a la pregunta básica de “¿qué tan seguros, o en riesgo, estamos?”, es fundamental para que un líder de seguridad alineado con el negocio justifique por qué está donde está.

Vea todo

Vea todo, debido a que el escenario de las amenazas está en constante cambio, necesita una evaluación continua y a profundidad de su superficie de ataque convergente, a través de un tablero de control en tiempo real que proporcione información clara sobre dónde está expuesto. Tenable proporciona visibilidad hacia las herramientas y las tecnologías que impulsan las estrategias de negocios modernas: la nube, contenedores, infraestructura, tecnología operativa (OT), aplicaciones web y más. Sin embargo, estas son las mismas herramientas que amplían la superficie de ataque de una organización y plantean riesgos para el negocio. Con Tenable, puede evaluar el estado de cada activo, incluyendo vulnerabilidades, errores de configuración e indicadores de estado. El escaneo activo, los agentes, el monitoreo pasivo y los conectores en la nube de Tenable proporcionan visibilidad y una visión continua de todos sus activos, tanto de los conocidos como de aquellos desconocidos previamente. Tenable tiene el soporte de configuración de seguridad y de CVE más amplio de la industria, para ayudarle a ver y comprender todas sus exposiciones.

Prediga lo que importa

Las organizaciones están abrumadas por las vulnerabilidades. Mientras que en 2019 se anunciaron más de 17 000 vulnerabilidades nuevas, menos del 7 % de ellas tienen exploits activos publicados. Es fundamental identificar esas vulnerabilidades más peligrosas antes de que sean utilizadas en un ataque. Con más de dos décadas de experiencia, y algoritmos de aprendizaje automático extraídos de un lago de datos de 5 petabytes y más de 20 billones de puntos de datos de amenazas, vulnerabilidades y activos evaluados continuamente, Tenable le permite identificar las vulnerabilidades, los activos críticos y los riesgos que más importan para su organización y la ejecución segura de sus estrategias de negocios. El abordaje predictivo de Tenable le permite priorizar sus esfuerzos con base en las amenazas existentes y las emergentes, y su impacto potencial en su negocio. Como resultado, puede enfocarse en las vulnerabilidades que es más probable que exploten los atacantes y reparar primero lo que más importa.

Actúe para abordar el riesgo

Las estrategias de seguridad reactivas, tácticas y aisladas en silos, dificultan la capacidad de los líderes de seguridad de obtener un panorama claro de las condiciones de la ciberseguridad de sus organizaciones y de las amenazas que plantean el mayor riesgo para el negocio. Esto dificulta la adopción de medidas y la comunicación eficaz entre los equipos y con sus colegas del área de negocios. Tenable proporciona métricas para medir el riesgo cibernético y la madurez de los programas, con el fin de mejorar los procesos organizativos, abordar los riesgos y comunicar los resultados con claridad y confianza. La alineación con respecto a estas métricas proporciona un lenguaje común para gestionar el equilibrio entre la velocidad de transformación del negocio y una postura de seguridad apropiada. La cuantificación de la exposición y la evaluación comparativa de Tenable le permiten cotejar su efectividad a lo largo del tiempo en las operaciones internas y con respecto a la competencia; son métricas fundamentales para establecer presupuestos, asignar recursos y mejorar los procesos.

Con Tenable, puede identificar fácilmente las áreas en las que debe enfocarse, y optimizar las inversiones en seguridad. La visualización de la totalidad de la superficie de ataque permite a cualquier persona —desde un analista hasta un ejecutivo—, comprender y comunicar rápidamente el nivel de Cyber Exposure de una organización, y actuar para reducirlo.