« Repensar la gobernanza de la ciberseguridad. »
Las cifras muestran que los líderes están convencidos de que la seguridad es esencial y que no tienen intención de venderla, pero también podemos ver que a veces les falta madurez para hacer frente al equilibrio entre las decisiones de inversión y las prioridades de gestión del cambio. Por esta razón, pueden tender a no aceptar las propuestas que se les hacen cuando no están respaldadas por un caso de negocios y explicadas de manera convincente en un lenguaje que entiendan. Por lo tanto, es crucial que alguien establezca la conexión entre el problema comercial, el riesgo comercial y la tecnología subyacente. Esta debería ser la función del CISO, pero en muchas empresas, están subordinados al CIO, quien es el responsable final de explicar por qué TI necesita invertir en seguridad. Este tipo de razonamiento no es necesariamente un punto fuerte de los CIO y puede competir con otros recursos de TI y restricciones presupuestarias. Por eso es fundamental repensar la gobernanza de la ciberseguridad. La separación de los roles de TI y de seguridad elimina tales conflictos de interés. Entonces, el CISO debería poder obtener directamente la aceptación necesaria de la empresa y su dirección ejecutiva. Con base en este compromiso, el CISO puede especificar requisitos para TI, que luego puede actuar como un proveedor de servicios que cumple con una solicitud formal. Los CISO tendrán que argumentar centrándose en la noción de riesgo, que es conocida y aceptada por la alta dirección, en lugar de la noción más vaga y desmovilizadora de brechas de seguridad. Además, el CISO debe estar en condiciones de implementar indicadores relacionados con el negocio que midan el nivel de riesgo de ciberseguridad. En el ámbito de la ciberseguridad hay una gran falta de visibilidad. Este es uno de los principales factores que impiden tomar las decisiones correctas en el momento adecuado.
« El CISO debe convertirse en un habilitador de negocios »
Adjunto al CIO, el CISO se ve obstaculizado en sus acciones porque, como muestra el estudio, sus prioridades difieren. El primero busca asegurar todo su sistema informático y el segundo, la actividad en sí. Sin embargo, la tendencia es que las líneas de negocio asuman la responsabilidad de asegurar sus desarrollos. Por lo tanto, el CISO debe poder comunicarse directamente con el CIO, sensibilizarlo, guiarlo hacia las soluciones adecuadas y luego justificar su inversión. Separado del CIO, el CISO también va más allá de la cultura tradicional de reducir los costos de TI, lo que le permite demostrar que la seguridad no es un centro de costos sino una palanca de creación de valor. El CISO debe convertirse en un facilitador de negocios y presentarse como tal. Para ello, deben abandonar su «cibercentrismo» y dejar de pensar en términos de amenazas potenciales, sino en términos de productos y servicios y los riesgos asociados. No es necesario que sean expertos en todas las tecnologías, pero el CISO es la persona de la organización que los entiende y puede conectarlos con los problemas comerciales. Para ser convincente, debe poder demostrar que las contramedidas sugeridas permitirán controlar los riesgos comerciales. Incluso si las cosas están cambiando, todavía estamos lejos de este escenario. En la mayoría de los casos, el CISO está atrapado en la urgencia operativa y no tiene los medios para implementar la cultura, las herramientas y los métodos que harían de la seguridad parte de la vida cotidiana. Se encuentran confinados al rol de guardia de seguridad y bombero, donde su vocación debería ser ayudar al crecimiento de la empresa. pero el CISO es la persona de la organización que los comprende y puede conectarlos con los problemas comerciales. Para ser convincente, debe poder demostrar que las contramedidas sugeridas permitirán controlar los riesgos comerciales. Incluso si las cosas están cambiando, todavía estamos lejos de este escenario. En la mayoría de los casos, el CISO está atrapado en la urgencia operativa y no tiene los medios para implementar la cultura, las herramientas y los métodos que harían de la seguridad parte de la vida cotidiana. Se encuentran confinados al rol de guardia de seguridad y bombero, donde su vocación debería ser ayudar al crecimiento de la empresa. pero el CISO es la persona de la organización que los comprende y puede conectarlos con los problemas comerciales. Para ser convincente, debe poder demostrar que las contramedidas sugeridas permitirán controlar los riesgos comerciales. Incluso si las cosas están cambiando, todavía estamos lejos de este escenario. En la mayoría de los casos, el CISO está atrapado en la urgencia operativa y no tiene los medios para implementar la cultura, las herramientas y los métodos que harían de la seguridad parte de la vida cotidiana. Se encuentran confinados al rol de guardia de seguridad y bombero, donde su vocación debería ser ayudar al crecimiento de la empresa. todavía estamos lejos de este escenario. En la mayoría de los casos, el CISO está atrapado en la urgencia operativa y no tiene los medios para implementar la cultura, las herramientas y los métodos que harían de la seguridad parte de la vida cotidiana. Se encuentran confinados al rol de guardia de seguridad y bombero, donde su vocación debería ser ayudar al crecimiento de la empresa. todavía estamos lejos de este escenario. En la mayoría de los casos, el CISO está atrapado en la urgencia operativa y no tiene los medios para implementar la cultura, las herramientas y los métodos que harían de la seguridad parte de la vida cotidiana. Se encuentran confinados al rol de guardia de seguridad y bombero, donde su vocación debería ser ayudar al crecimiento de la empresa.
« Persiste un muro de incomprensión. »
Los resultados del estudio muestran que persiste un muro de malentendidos entre los profesionales de la ciberseguridad y los gerentes de línea de negocios, muchos de los cuales aún perciben la seguridad como una restricción. En consecuencia, se aborda la seguridad sin darle siempre la suficiente importancia ni ver qué puede aportar en términos de agilización, generación de confianza y reducción del «time to market», por ejemplo. La culpa de este malentendido es compartida. Por el lado empresarial, si bien ahora se reconoce el riesgo cibernético, persisten sesgos y prejuicios que impiden tomar las medidas adecuadas. Y por el lado de la seguridad, no siempre sabemos cómo promover el mensaje y, debido a la distancia con el negocio, no siempre se entienden correctamente los riesgos para la empresa. Para afrontar esta situación con responsabilidad, cada uno tiene que poner de su parte. La clave para facilitar la colaboración y convertirla en un proceso natural es establecer una métrica de riesgo que sea clara, comprensible e irrefutable para todos. El equilibrio adecuado entre riesgo y necesidad operativa se puede encontrar ponderando el riesgo y los requisitos operativos: por un lado, el contratista conoce y asume el riesgo que está tomando en relación con los temas en juego; Por otro lado, Security encuentra la solución más adecuada en términos de costo, protección e impacto en las operaciones. Una solución que, de hecho, no es necesariamente compleja. Al igual que en el sector de la inteligencia empresarial, la ciberseguridad es ante todo una cuestión de simples precauciones que se toman a diario. Es una cultura, un ADN, antes de ser un sujeto tecnológico. comprensible e irrefutable para todos. El equilibrio adecuado entre riesgo y necesidad operativa se puede encontrar ponderando el riesgo y los requisitos operativos: por un lado, el contratista conoce y asume el riesgo que está tomando en relación con los temas en juego; Por otro lado, Security encuentra la solución más adecuada en términos de costo, protección e impacto en las operaciones. Una solución que, de hecho, no es necesariamente compleja. Al igual que en el sector de la inteligencia empresarial, la ciberseguridad es ante todo una cuestión de simples precauciones que se toman a diario. Es una cultura, un ADN, antes de ser un sujeto tecnológico. comprensible e irrefutable para todos. El equilibrio adecuado entre riesgo y necesidad operativa se puede encontrar ponderando el riesgo y los requisitos operativos: por un lado, el contratista conoce y asume el riesgo que está tomando en relación con los temas en juego; Por otro lado, Security encuentra la solución más adecuada en términos de costo, protección e impacto en las operaciones. Una solución que, de hecho, no es necesariamente compleja. Al igual que en el sector de la inteligencia empresarial, la ciberseguridad es ante todo una cuestión de simples precauciones que se toman a diario. Es una cultura, un ADN, antes de ser un sujeto tecnológico. el contratista conoce y asume el riesgo que asume en relación con los asuntos en juego; Por otro lado, Security encuentra la solución más adecuada en términos de costo, protección e impacto en las operaciones. Una solución que, de hecho, no es necesariamente compleja. Al igual que en el sector de la inteligencia empresarial, la ciberseguridad es ante todo una cuestión de simples precauciones que se toman a diario. Es una cultura, un ADN, antes de ser un sujeto tecnológico. el contratista conoce y asume el riesgo que asume en relación con los asuntos en juego; Por otro lado, Security encuentra la solución más adecuada en términos de costo, protección e impacto en las operaciones. Una solución que, de hecho, no es necesariamente compleja. Al igual que en el sector de la inteligencia empresarial, la ciberseguridad es ante todo una cuestión de simples precauciones que se toman a diario. Es una cultura, un ADN, antes de ser un sujeto tecnológico.
Contactos
Renaud Templier
Cybersecurity Group Offer Director, renaud.templier@devoteam.com
Martin Esslinger
Socio, Devoteam. martin.esslinger@devoteam.com
Jørgen Papadopoulos
Socio, Devoteam. jorgen.papadopoulos@devoteam.com
Benoît Micaud
Socio, Devoteam. benoit.micaud@devoteam.com
