Worawut - stock.adobe.com
El programa de ciberseguridad debe alinearse con los objetivos del negocio: Tenable
Tenable y Forrester identificaron tres niveles de etapas de madurez para medir el progreso hacia una alineación más sólida entre los líderes de seguridad y las contrapartes del negocio.
El COVID-19 ha arrojado luz sobre la desconexión entre los líderes de seguridad y el negocio. En el actual clima de incertidumbre en nuestro país, los negocios digitales requieren de una nueva forma de medir y gestionar el ciber-riesgo como riesgo estratégico del negocio, pero 79 % de los líderes de negocios y de seguridad en nuestro país mencionó que sus estrategias de respuesta ante el COVID-19 están solo «relativamente» alineadas con el negocio. Así lo mostró un estudio reciente de Forrester, solicitado por Tenable, según el cual los líderes de seguridad deben madurar los programas de ciberseguridad para alinearse con los objetivos del negocio.
Según el estudio «El ascenso del ejecutivo de seguridad alineado con el negocio, enfocado a México» realizado por Forrester Consulting a petición de Tenable, menos del 50 % de los líderes de seguridad en las organizaciones mexicanas consideran el impacto de las amenazas de ciberseguridad dentro del contexto de un riesgo específico del negocio. Igualmente, poco más de la mitad (53 %) afirmó que sus organizaciones de seguridad trabajan con los stakeholders del negocio para alinear los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio.
«Las estrategias de seguridad reactivas, de madurez temprana y menos alineadas dificultan que los líderes de seguridad obtengan una imagen clara de la postura de seguridad de sus organizaciones para comprender qué amenazas representan el mayor riesgo para la empresa. Aún más preocupante, cuando las estrategias de ciberseguridad están desconectadas de los objetivos del negocio, el mensaje de riesgo a menudo se pierde en el camino», comentó Luis Fornelli, country manager de Tenable en México.
De acuerdo con el estudio, 95 % de los encuestados en México dijeron que sus organizaciones han desarrollado estrategias de respuesta al COVID-19, pero 79 % dijo que estas estrategias están, en el mejor de los casos, solo «algo» alineadas con los objetivos del negocio.
Debido a la repentina digitalización que muchas empresas tuvieron que emprender en medio de la pandemia global, se requiere un nivel de alineación estratégica entre los líderes del negocio y de seguridad para proteger las iniciativas digitales del riesgo cibernético durante el 2021.
Tenable y Forrester identificaron tres niveles de madurez para alinear los objetivos entre los líderes de seguridad y sus contrapartes del negocio:
- Menos alineado: Las iniciativas de ciberseguridad están aisladas y rara vez se alinean con los objetivos del negocio. Debido a que la estrategia de seguridad está desconectada de los objetivos del negocio, las actividades de seguridad tienden a ser de naturaleza reactiva y el mensaje de riesgo a menudo se pierde en la comunicación.
- Moderadamente alineado: Las organizaciones de seguridad utilizan la tecnología para obtener inicialmente una evaluación holística de los activos críticos de la organización y la superficie de ataque, así como para automatizar el descubrimiento continuo de activos y la gestión de vulnerabilidades. Pero las métricas de desempeño son de naturaleza técnica y, por lo tanto, los líderes del negocio no las comprenden bien.
- Altamente alineado: Las organizaciones de seguridad están alineadas con el negocio para hacer coincidir los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio. La organización de seguridad revisa periódicamente sus métricas de desempeño con las partes interesadas del negocio para asegurarse de que brinden resultados significativos y demostrables.
Con respecto a los beneficios de la alineación del negocio y de seguridad, Fornelli señaló que el estudio muestra que los líderes de seguridad alineados con el negocio tienen ocho veces más probabilidades que sus pares, que trabajan de manera aislada, de tener una gran confianza en su capacidad para informar sobre el nivel de seguridad o riesgo de sus organizaciones. También superan a sus homólogos más reactivos y aislados en la automatización de procesos clave de evaluación de vulnerabilidades por márgenes de +49 y +66 puntos porcentuales.
Asimismo, el estudio destaca que el 85 % de los líderes de seguridad alineados con el negocio cuentan con métricas para monitorear el retorno de la inversión en ciberseguridad y el impacto en el rendimiento del negocio, en comparación con solo el 25 % de sus pares más reactivos y aislados.
Finalmente, Fornelli dijo que, para lograr la alineación, los CISO y otros líderes de seguridad necesitan la combinación correcta de tecnología, datos, procesos y personas. «Los líderes de seguridad deben alinear sus estrategias de ciberseguridad con los objetivos y prioridades del negocio para evolucionar desde el antiguo enfoque reactivo y aislado de ‹detectar, proteger y defender›, a una estrategia que empodere la seguridad y al negocio para adoptar una visión ofensiva del riesgo de ciberseguridad y alinearlo con las decisiones del negocio», concluyó el directivo.