Ciberseguridad, ¿se integra o no al plan de negocios?

Menos de la mitad de los líderes de seguridad global consultan regularmente a los ejecutivos de negocios cuando desarrollan sus estrategias de ciberseguridad

.
 .  (Foto: Redacción)

Uno de los retos para los líderes de seguridad de las organizaciones es evidenciar que los riesgos cibernéticos impactan en el plan de negocios, destacó Tenable. 

De acuerdo con un estudio realizado por la firma, solo la mitad de los líderes de seguridad global, trabaja con las partes interesadas del negocio para alinear los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio. Mientras que el 43% dijo que revisa regularmente las métricas de desempeño de la organización de seguridad con las partes interesadas del negocio.

LEE: CONSEJOS DE CIBERSEGURIDAD PARA PYMES

Asimismo, menos del 50% de los líderes de seguridad global están utilizando métricas de amenazas que incorporan el contexto del riesgo empresarial para medir el riesgo cibernético de sus organizaciones. 

Y solo el 54% de los líderes de seguridad y el 42% de los ejecutivos dijeron que sus estrategias de ciberseguridad están completa o estrechamente alineadas con los objetivos del negocio. 

El vicepresidente de ventas de Tenable para América Latina, Francisco Ramírez Arellano, destacó que las organizaciones deben comprender qué tan expuestas están a un ataque, qué tan rápido pueden resolverlo y qué efecto puede tener un ataque en las funciones y procesos centrales del negocio. 

Mencionó que los líderes primero deben poder responder a dos preguntas clave:

1. Profundice en el corazón de la organización; ¿Cuál es su propuesta de valor? El objetivo del negocio debe ser claro; en caso de un ciberataque, la reputación y la continuidad del negocio están en juego. Por ejemplo, en el sector farmacéutico, proporcionar medicamentos seguros y de calidad es el valor esencial.

2. ¿Cuáles de sus activos son fundamentales para realizar la propuesta de valor empresarial? Es extremadamente importante identificar aquellos sistemas, aplicaciones y dispositivos que son fundamentales para la organización y que, en caso de un ataque, podrían paralizar las operaciones  críticas del negocio.

"Al final del día, los ejecutivos están más preocupados por garantizar que la empresa esté preparada para seguir cumpliendo con la propuesta de valor. Las estrategias de ciberseguridad que se alinean con los objetivos empresariales fomentan un lenguaje universal entre los líderes. Esto permite a los líderes de seguridad evaluar los riesgos en función de la criticidad de sus activos vulnerables y su pertinencia para cumplir con la propuesta de valor empresarial, con lo que pueden formular una respuesta informada y clara a la pregunta: "¿Cuán seguros o en riesgo estamos?", concluyó Ramírez.

Por su parte, el CISO de Home Depot César Garza, dijo "Los profesionales de la ciberseguridad nos ocupamos del riesgo a cada minuto: vulnerabilidades, fallas de código, el factor humano, procesos rotos, tecnología obsoleta, configuraciones incorrectas, etc. El riesgo es el factor común entre el lenguaje de la ciberseguridad y los ejecutivos de negocios. Es el común denominador".

"Pero aun así, es un desafío traducir los riesgos de ciberseguridad al lenguaje de los riesgos del negocio que los ejecutivos deben comprender. En algunos casos, debemos imaginarnos el peor de los escenarios, hablar sobre preocupaciones como multas, daños a la marca y pérdida de la lealtad del cliente, para enviar un mensaje de verdad. Por eso me gusta decir: "Hablemos de riesgos para que podamos entender nuestras inversiones en ciberseguridad", puntualizó.