Cómo promover la participación de ejecutivos para que inviertan en ciberseguridad

Vincular los presupuestos de seguridad con los resultados de la protección contra violaciones, ayuda a los ejecutivos a equilibrar el gasto con el riesgo, y los CISO obtienen un mayor respeto en la empresa.

La tenue relación entre los CISO y los ejecutivos

Generalmente, la relación entre la mayoría de los directores de seguridad de la información o CISO, y los ejecutivos de una empresa es débil. Una parte del trabajo de los CISO, consiste en establecer programas de seguridad que protejan a la empresa frente a violaciones de seguridad. Por otro lado, los ejecutivos tiene la obligación de proteger a su organización de daños inaceptables.

No obstante, el problema radica en que, a estos ejecutivos, habitualmente no se les presentan estrategias y planes de acción de seguridad cuantificables y basados en datos. Si se hace de esta forma, se puede saber como afecta al presupuesto de la organización y también que consecuencias podrían tener no adoptar estas medidas de seguridad.

Esta situación expone a los ejecutivos a rivales externos como inversores, aseguradoras y asesores legales opuestos con respecto a la exposición empresarial frente al riesgo cibernético. Además, dentro de la organización, los CISO compiten por fondos limitados contra el resto de departamentos y a veces tienen que lidiar con opciones de inversión que son más atractivas.

Establecer expectativas de riesgo y justificar la inversión en seguridad

Si queremos manejar mejor estos desafíos necesitamos un plan de seguridad, que establezca una expectativa del nivel de resultados de riesgo cibernético según el presupuesto que tengamos. Una de las cosas que se puede conseguir con esto, es tener claro el gasto que debe hacer nuestra empresa en cuanto a la inversión en seguridad. La otra sería que, en el caso de que redujera el presupuesto, el CISO puede demostrar el riesgo de ciberseguridad que produce esa reducción.

Tradicionalmente, las estrategias de seguridad se han basado habitualmente en cazadores de vulnerabilidades, detectores de amenazas y calculadoras de riesgos. El problema es que, muchas veces son demasiado abstractos para conectarlos con los ejecutivos. La mejor forma es la adopción de un enfoque de seguridad y economía. Necesitamos un control en el que se vea el costo y la recompensa que se obtiene. A menudo, la satisfacción de los ejecutivos aumenta si podemos demostrar los beneficios de la inversión.

Cómo deben enfocar los CISO el problema para mejorar la relación con los ejecutivos

Los CISO, para establecer mejores expectativas con los ejecutivos, deben adoptar un enfoque económico de seguridad. Algunas de las preguntas que se deben hacer son las siguientes:

  1. ¿Dónde estamos enfocando la protección? ¿Está esto justificado?
  2. ¿Qué niveles y tipos de protección podemos brindar? ¿Cuánto cuestan?
  3. ¿Podemos hacer un seguimiento de nuestro desarrollo y operaciones para garantizar su rentabilidad?
  4. ¿Los resultados pueden ser verificados de forma independiente?

Al enmarcar la seguridad en relación con el riesgo, se vuelve más claro equilibrar el gasto con los posibles resultados de riesgo. Una fuga de información de datos de una organización, puede ser muy dañina para una organización y, si es muy grave, puede suponer hasta su cierre. Además, hay que tener en cuenta que luego recuperar el prestigio perdido es una tarea complicada.

Estas opciones pueden mostrar cuánto presupuesto se asignará para recibir distintos niveles de protección. También visto a la inversa expone el riesgo cibernético. A veces los CISO creen que no se les respeta lo suficiente o que no se les escucha. No obstante, esto puede deberse a que no han presentando un enfoque basado en riesgos / beneficios. Por último, para mejorar la inversión de seguridad se requiere de un CISO moderno que piense tanto en seguridad como economía.