Los CIO y CISO deben involucrar a los tomadores de decisiones ejecutivas para cambiar la forma en que se trata la ciberseguridad en la organización e impulsar las inversiones en seguridad que afectan directamente los resultados comerciales.
La ciberseguridad ha estado en las agendas de la junta durante al menos una década, pero el reciente brote de coronavirus pone de relieve la desconexión entre la comprensión ejecutiva de la ciberseguridad y las capacidades reales de su organización.
"Las historias que hemos visto durante el brote de COVID-19 son el último ejemplo que destaca el enfoque fallido de seguridad cibernética que adoptan muchas organizaciones", dice Paul Proctor , distinguido vicepresidente analista de Gartner. “Si bien los ejecutivos se centraron en garantizar el cumplimiento y detener a los piratas informáticos, se ignoraron oportunidades simples como habilitar tecnologías seguras de acceso remoto, que tienen un impacto comercial mucho mayor. Ahora, las organizaciones están luchando para ponerse al día ".
La desconexión COVID-19 debería crear una llamada de atención para los CIO, CISO y ejecutivos de TI
Estas oportunidades perdidas detectadas durante el brote de coronavirus son solo el ejemplo más reciente de cómo a menudo se subestima la desconexión entre la seguridad y los resultados comerciales. Las organizaciones deben centrarse en la creación de controles adecuados, razonables, consistentes y efectivos en un contexto empresarial.
La desconexión de COVID-19 debería crear una llamada de atención para los CIO, CISO y ejecutivos de TI sobre la necesidad crítica de abordar la ciberseguridad en un contexto comercial y como una decisión comercial. Pero los líderes de TI pueden construir una narrativa ejecutiva para cambiar cómo se trata la ciberseguridad en su organización.
Abordar los enfoques fallidos de ciberseguridad
Muchas organizaciones adoptan un enfoque ineficaz para la ciberseguridad. Estos enfoques fallidos conducen a malas decisiones y malas inversiones. Estos son los cuatro desafíos clave que limitan el impacto comercial de la ciberseguridad.
1. La percepción social es que la ciberseguridad es un problema técnico, mejor manejado por personal técnico.
Esto resulta en una falta de compromiso con los ejecutivos, intercambios improductivos y expectativas poco realistas. En última instancia, conduce a malas decisiones y malas inversiones en ciberseguridad.
2. Las organizaciones hacen preguntas equivocadas sobre seguridad cibernética.
Preguntas como "¿Cuánto debería gastar en ciberseguridad?" o "¿Cómo puedo cumplir con las regulaciones?" no reflejan el nivel de protección de la organización. Estas preguntas fuera de lugar desvían la atención de prioridades mejoradas y mejores inversiones.
3. Las inversiones y enfoques actuales diseñados para abordar las limitaciones no son productivos.
Las organizaciones se centran en nuevos enfoques que son muy prometedores, pero a través de una combinación de ejecución fallida y expectativas mal establecidas, estas inversiones solo retrasan las actividades que mejorarán mejor la ciberseguridad. Por ejemplo, muchas empresas usan la cuantificación para presentar riesgos y seguridad en términos de dinero (¿es un riesgo de $ 5 millones o un riesgo de $ 50 millones?) Y la probabilidad de daños (¿cuál es el porcentaje de probabilidad de ser pirateado?).
Sin embargo, estos cálculos a menudo se basan en suposiciones y "opiniones de expertos" que esencialmente dictan el resultado, en lugar de una evaluación comercial cuantitativa real. Usar la apariencia de cuantificación para obtener lo que desea no es compatible con la seguridad cibernética mejorada.
4. Las fallas reales no están recibiendo suficiente atención para cambiar el comportamiento productivamente.
Por ejemplo, el fabricante de un dispositivo de monitoreo médico ignoró la ciberseguridad en el desarrollo de su producto conectado a Internet para reducir costos y acelerar el tiempo de producción. El software fundamental estaba plagado de vulnerabilidades, y una vez descubierto, los ciberdelincuentes explotaron los dispositivos para implementar el ransomware. Esto hizo que los dispositivos fueran inutilizables para los profesionales médicos y creó una escasez crítica durante un momento de máxima necesidad.
Esta desconexión entre la toma de decisiones ejecutivas y la ciberseguridad efectiva debería alentar a los líderes empresariales y de seguridad a centrar su atención en nuevas formas de abordar el problema.
Crear un contexto empresarial en torno a la ciberseguridad
Para crear un contexto comercial en torno a la ciberseguridad, primero identifique el contexto comercial de su organización. Cada organización tiene presupuestos y costos, resultados deseados y procesos comerciales de apoyo, fuentes de ingresos y clientes. Cada uno de estos componentes viene con dependencias tecnológicas clave. Comprenda los procesos y resultados comerciales más importantes de la organización e identifique cómo la tecnología los asigna de nuevo.
Luego, utilizando el contexto empresarial como guía, cambie a un enfoque de seguridad cibernética basado en resultados. Un enfoque basado en resultados es un proceso de gobernanza donde las prioridades y las inversiones se determinan en función de su impacto directo en los niveles de protección en un contexto empresarial. Este enfoque ayuda a la organización a ver qué tan bien está protegida la organización, en lugar de solo cómo está protegida.
Un enfoque basado en los resultados crea una lente completamente nueva para que los ejecutivos que no son de TI y otras partes interesadas consuman información sobre seguridad cibernética
Por ejemplo, una organización puede gestionar el riesgo de ransomware midiendo los resultados operativos de los controles principales que utiliza para abordar el ransomware: copia de seguridad y restauración, continuidad del negocio y capacitación en phishing. Si estas herramientas brindan resultados que cumplen con las expectativas de los interesados en cuanto a la disposición para abordar el ransomware, se crea un contexto comercial para la inversión continua. Los ejecutivos pueden participar en las decisiones relacionadas con la cantidad de protección contra ransomware que la organización quiere y cuánto está dispuesta a pagar.
Un enfoque basado en resultados crea una lente completamente nueva para que los ejecutivos que no son de TI y otras partes interesadas consuman información sobre problemas de ciberseguridad en un contexto empresarial. Las prioridades y las inversiones se pueden ajustar para equilibrar las necesidades de protección contra las necesidades para administrar el negocio.
Comentarios
Publicar un comentario