La baja conciencia de seguridad de la información entre los ejecutivos de gerencia puede dañar la financiación de la seguridad. Sepa cómo aumentarla.
El informe anual CXO de (ISC) 2 pintó un cuadro interesante en torno a la situación actual de los directores de seguridad de la información (CISO). En concreto, el informe señala una serie de áreas en las que las necesidades de la empresa contrastaban con las buenas prácticas de seguridad, y como suele ser el caso en el mundo real, el negocio por lo general necesita ganar por sobre la seguridad.
Por ejemplo, 72% de los ejecutivos encuestados clasificó las vulnerabilidades de aplicaciones como la principal amenaza a la seguridad de los datos en sus organizaciones, sin embargo, se esfuerzan por hacer de la seguridad una consideración primordial durante el proceso de desarrollo de aplicaciones.
Las conclusiones del informe CXO probablemente no son sorprendentes para la mayoría de los ejecutivos de seguridad, que tratan con estos problemas diariamente. Si bien la industria de seguridad de la información está madurando a un ritmo rápido, todavía no estamos en un punto donde las empresas aprecian plenamente el impacto potencial de la implementación de sistemas inseguros, dejando a muchos CISOs en una situación política difícil cuando la empresa quiere implementar una nueva tecnología llena de vulnerabilidades.
Como resultado, los CISOs a menudo se encuentran haciendo compromisos incómodos alrededor de cantidades aceptables de riesgo de seguridad para satisfacer los requerimientos del negocio, con algunos ejecutivos de seguridad posiblemente quedando desalentados a medida que esa línea continúa siendo empujada.
Para comunicar de manera efectiva los riesgos de seguridad de información para el negocioy elevar la conciencia de seguridad entre los ejecutivos que no son de seguridad, los CISOs deben utilizar nuevos enfoques. Vamos a discutir tres acercamientos posibles.
Use FUD con moderación
Cuando se enfrentan con el reto de explicar cómo el riesgo de seguridad es relevante para un negocio, muchos profesionales de seguridad todavía recurren al miedo, la incertidumbre y la duda (FUD) con el fin de insistir en el tema. Esta táctica puede ser eficaz, pero solo si se usa con poca frecuencia y mucha precisión. Es muy importante no tratar de asustar a los ejecutivos presentándoles continuamente la última brecha o vulnerabilidad no relacionada.
En lugar de depender de FUD, se debe tratar de presentar datos precisos alrededor de los riesgos de seguridad pertinentes, lo que es más probable que obtenga una respuesta positiva por parte de otros ejecutivos. Por ejemplo, recoger datos sobre las violaciones de datos que han sido experimentados por otras empresas del mismo sector pueden ser útiles. Demostrar cómo se llevó a cabo un ataque a la web de la empresa también puede ser una herramienta poderosa. El truco consiste en generar la urgencia de FUD sin evocar la respuesta emocional del miedo y, para que sea efectivo, eso requiere, en última instancia, conocer a la audiencia (por ejemplo, otros ejecutivos) y afinar el mensaje según se requiera.
Forme parte de la empresa en general
Con un panorama de amenazas en constante evolución para monitorear, los CISOs tienden a pasar gran parte de su tiempo centrados en el último riesgo de seguridad de TI, haciendo difícil construir relaciones con otros ejecutivos. Esto es especialmente cierto cuando un CISO es incapaz de girar la conversación lejos de los aspectos prácticos de la mitigación diaria del riesgo. Para ser realmente eficaces en la posición, los CISOs necesitan aprender el vocabulario de negocios y construir esas relaciones clave con la gerencia.
Los mejores ejecutivos de seguridad saben tanto de los conductores de ingresos para el negocio como sobre las últimas estadísticas de violación de datos. Un CISO que se clava en las operaciones de negocio puede incluso descubrir maneras en que las mejores prácticas de seguridad de la información pueden reducir gastos a través de la optimización de procesos: Por ejemplo, la implementación de la autenticación con un único inicio de sesión reduce el número de contraseñas que un empleado debe recordar, y eso no solo aumenta la eficiencia, sino que también permite implementar políticas de contraseñas más fuertes. Un nuevo CISO tendrá que aprender a reconocer ese tipo de oportunidades, pero los ejecutivos con muchas prioridades fuera de la seguridad de la información encontrarán este enfoque refrescante.
Dé a los líderes empresariales una voz en la seguridad
Por último, uno de los métodos más efectivos para llevar la conciencia de seguridad de la información entre los ejecutivos que no son de seguridad es dejar que ellos jueguen un papel en las decisiones relacionadas con la seguridad. Una forma de lograr esto es mediante la formación de un comité de gobierno de seguridad de la información. Al principio, puede ser difícil conseguir tiempo con ejecutivos ocupados para cuestiones de seguridad, pero si saben que en realidad podrán tomar decisiones clave, la participación y el compromiso por lo general vendrán después.
El rol del CISO en dicho comité es presentar riesgos actuales para los activos de información de la empresa, con propuestas de estrategias de mitigación, que pueden incluir nuevas políticas o tecnologías organizacionales. Como mencioné anteriormente, los ejecutivos tienden a responder favorablemente a datos concretos, así que déles información objetiva sobre el estado de las amenazas a la empresa que puedan utilizar como base para tomar decisiones de seguridad sólidas. Cuando se les proporciona la información correcta, los ejecutivos –quizá de forma sorprendente para algunos– a menudo toman una postura más firme de la que fue recomendada en un principio. También se le da ese peso extra de autoridad superior a las nuevas políticas de seguridad cuando están parcialmente desarrolladas por los ejecutivos en el comité, no solo por el equipo de seguridad. Por supuesto, puede haber momentos en los que los ejecutivos no respalden las políticas propuestas por un CISO, pero que el CISO tenga siquiera la oportunidad de presentarles los problemas de seguridad a ellos puede ser un aspecto positivo en el camino.
Conclusión
Los ejecutivos de seguridad tienen que encontrar nuevas maneras de hacer de la seguridad una parte más grande de los procesos de negocio en general, y con suerte ganar un poco más de poder adquisitivo para herramientas y personal de seguridad en el proceso. He esbozado los tres que he encontrado son los más eficaces –atenuar el FUD, aprender el lenguaje de los negocios y conseguir que los ejecutivos que no son de seguridad se involucren más en los procesos de seguridad– pero los nuevos CISOs van a encontrar nuevas formas de ganar esa influencia en la dirección y hacer de la seguridad una prioridad mayor. La conciencia de seguridad de la información entre los ejecutivos, sin duda, seguirá creciendo a través del uso de estas técnicas y, en un futuro próximo, los CISOs pueden incluso encontrar que la seguridad se percibe como un impulsor del negocio en lugar de como un control en la carretera.
