En el actual clima de incertidumbre en nuestro país, los negocios digitales requieren una nueva forma de medir y gestionar el ciberriesgo como riesgo estratégico del negocio. El Covid-19 ha arrojado luz sobre la desconexión entre los líderes de seguridad y el negocio
Según el estudio El Ascenso del Ejecutivo de Seguridad Alineado con el negocio, Enfocado a México realizado por Forrester Consulting a petición de Tenable, menos del 50% de los líderes de seguridad en las organizaciones mexicanas consideran el impacto de las amenazas de ciberseguridad en el contexto de un riesgo específico del negocio.
Aunque el 95% de los encuestados en México dijeron que sus organizaciones han desarrollado estrategias de respuesta al COVID-19, el 79% dijo que estas estrategias están, en el mejor de los casos, sólo "algo" alineadas.
Poco más de la mitad (53%) afirmó que sus organizaciones de seguridad trabajan con los stakeholders del negocio para alinear los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio.
"Las estrategias de seguridad reactivas, de madurez temprana y menos alineadas dificultan que los líderes de seguridad obtengan una imagen clara de la postura de seguridad de sus organizaciones para comprender qué amenazas representan el mayor riesgo para la empresa”, comentó Luis Fornelli, Country Manager de Tenable en México.
Tenable y Forrester han identificado tres niveles de madurez para alinear los objetivos entre los líderes de seguridad y sus contrapartes del negocio. Esta guía permite a las organizaciones comprender dónde se encuentran actualmente, con el fin de mejorar las estrategias de ciberseguridad y garantizar una comprensión universal de los objetivos del negocio.
- menos alineado: las iniciativas de ciberseguridad están aisladas y rara vez se alinean con los objetivos del negocio. Debido a que la estrategia de seguridad está desconectada de los objetivos del negocio, las actividades de seguridad tienden a ser de naturaleza reactiva y el mensaje de riesgo a menudo se pierde en la comunicación
- moderadamente alineado: las organizaciones de seguridad utilizan la tecnología para obtener inicialmente una evaluación holística de los activos críticos de la organización y la superficie de ataque, así como para automatizar el descubrimiento continuo de activos y la gestión de vulnerabilidades. Pero las métricas de desempeño son de naturaleza técnica y, por lo tanto, los líderes del negocio no las comprenden bien
- altamente alineado: las organizaciones de seguridad están alineadas con el negocio para hacer coincidir los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio. La organización de seguridad revisa periódicamente sus métricas de desempeño con las partes interesadas del negocio para asegurarse de que brinden resultados significativos y demostrables