Rawpixel.com - stock.adobe.com
Ocho pasos para convertirse en un líder de seguridad alineado con el negocio
Los CISO se enfrentan al desafío de traducir los riesgos de seguridad cibernética en términos de negocio para contribuir a la dirección estratégica de la organización. Tenable propone ocho mejores prácticas para ayudarlos.
Conforme las organizaciones mantienen el trabajo remoto y adoptan nuevas tecnologías para impulsar la transformación digital, la superficie de ataque continúa expandiéndose, lo que requiere un nuevo enfoque de la ciberseguridad, afirma Tenable. El riesgo cibernético ahora es igual al riesgo empresarial, ya que los activos críticos pueden ser víctimas de ciberataques y afectar la continuidad del negocio, por lo cual los líderes de seguridad deben estar preparados para trabajar con los ejecutivos de negocios para reducir el riesgo cibernético.
Ahora, más que nunca, señala la compañía de ciberseguridad, los líderes de seguridad buscan nuevas formas de mejorar su alineación con el negocio, asumir una visión empresarial e influir en la dirección estratégica de la organización para mejorar la visibilidad de la postura de seguridad, predecir las amenazas entrantes y actuar para abordar el riesgo. Esta tendencia se refleja en que la gran mayoría de los ejecutivos de organizaciones globales alineadas con el negocio (80%) tienen un oficial de seguridad de la información empresarial (BISO), o un título similar, en comparación con solo el 35% de sus contrapartes menos alineadas. Esto de acuerdo con el estudio “El surgimiento del ejecutivo de seguridad alineado con la empresa” de Forrester Consulting, encargado por Tenable.
César Garza, CISO de The Home Depot México, señaló que un tema clave para convertirse en un líder de ciberseguridad alineado con la empresa es entender el negocio. "Comprenda su negocio, comprenda lo que preocupa a sus líderes del negocio, sea un facilitador y dedique tiempo a comunicarles los riesgos y a escucharlos. A menudo, esta es la parte más desafiante porque todos queremos tener razón y ser la prioridad, pero todos somos una prioridad: el negocio, la ciberseguridad y la operación en sí”, afirmó.
Garza reconoció el desafío de traducir los riesgos de seguridad cibernética en riesgos del negocio para comunicarse con los ejecutivos. "En algunos casos, necesitamos imaginarnos el peor de los escenarios, hablar de multas, daños a la marca y pérdida de la lealtad del cliente para enviar realmente el mensaje. Entonces, me gusta decir: Hablemos de riesgos para que podamos entender las inversiones en ciberseguridad".
Para ayudar a los líderes de seguridad a alinearse con el negocio, Tenable reunió ocho mejores prácticas que todos los CISO deberían incorporar en sus operaciones diarias:
- Manténgase actualizado con todos los recursos corporativos externos. Los CISO deben dedicar tiempo a revisar los documentos públicos que brindan información valiosa sobre el estado actual de la organización para obtener una mayor información del negocio.
- Mantenga una comunicación permanente con todas las áreas del negocio. Un líder de seguridad debe establecer y nutrir la comunicación con los jefes de cada departamento para conocer cuáles son sus necesidades y desafíos diarios. Su misión será sensibilizar, educar y capacitar a la organización sobre el riesgo cibernético.
- Establezca un entendimiento de las prioridades y desafíos que enfrenta la organización y su industria. El CISO debe comprender la visión del negocio, saber qué procesos y datos son críticos, y qué información respalda el crecimiento y el desarrollo.
- Implemente reuniones periódicas con la alta dirección. Los mejores líderes de seguridad entienden que una de sus responsabilidades más importantes es mantener abierta la línea de comunicación entre la junta directiva y la unidad de seguridad del negocio. Dado que los directores reconocen que la seguridad es tan crítica como cualquier otra unidad estratégica del negocio, los CISO deben continuar refinando sus estrategias para comunicar el riesgo de manera efectiva y responder a sus preguntas en términos de negocio.
- Justifique el ROI. La justificación del presupuesto de seguridad debe explicarse claramente, utilizando una terminología y un lenguaje adaptados a la alta dirección. Los CISO deben prestar atención a cómo los jefes de cada departamento demuestran el retorno de su inversión y deben encontrar formas de adaptar sus propias métricas de ROI de seguridad de manera similar.
- Identifique y utilice una red de asesores de negocio confiables. Es importante que los CISO confíen en los asesores para escuchar las diversas perspectivas y ayudarlos a comprender el negocio.
- Establezca relaciones con los profesionales de riesgos de la organización. Un buen líder en seguridad debe participar en el desarrollo de estrategias de gestión de riesgos empresariales para priorizar la ciberseguridad.
- Comprenda la relación de la empresa con terceros. Los CISO deben conocer las relaciones clave entre la empresa y sus socios externos, como los proveedores de servicios de procesamiento de nóminas o planificación de recursos empresariales, así como obtener visibilidad de las herramientas y plataformas que aprovechan para realizar negocios. Esta visibilidad es fundamental para mantener una comprensión de la postura de seguridad a fin de mitigar el riesgo.
A través de estas mejores prácticas, los líderes de seguridad pueden transformar su rol para alinearse óptimamente con el negocio. La colaboración fortalecida, subraya Tenable, permitirá a los ejecutivos alinear estrategias, comprender las prioridades y reducir el riesgo cibernético como un frente unido.