Seguridad, ¿la nueva dirección de la empresa?

Tan solo en 2020, se robaron más de 22,000 millones de registros en 730 eventos públicos por filtración de datos

.
 .  (Foto: iStock)

Hoy más que nunca, las organizaciones enfrentan desafíos sin precedentes cuando se trata de  identificar, priorizar y mitigar riesgos. En este contexto, el líder de seguridad toma cada vez más  protagonismo en las decisiones de negocio de las empresas, aseveró Tenable. 

“Los profesionales de seguridad ya no son una función aislada dentro del departamento de TI, hoy  deben ser expertos en gestión de riesgo debido al gran incremento de filtraciones de datos que están  originando costos masivos a causa de dicha problemática, ataques de ransomware, pérdida de  productividad o robo de propiedad intelectual”, afirmó en un comunicado. 

En ese sentido, refirió que, tan solo en 2020, se robaron más de 22,000 millones  de registros en 730 eventos públicos de filtración de datos. Además, más del 35% de las filtraciones  está vinculado a ataques de ransomware, que, a menudo, suponen un costo financiero muy elevado.  


En la medida en que la superficie de ataque se expande y se hace más compleja cada día, es  imprescindible que los equipos de seguridad tengan un abordaje contemporáneo para identificar la  ubicación y criticidad de las amenazas que permita ayudar en estrategias de mitigación a nivel  ejecutivo, estratégico y táctico. 


El informe de Tenable Tres niveles de Estrategia de Seguridad para decisiones de  negocio sobre el riesgo, señala que la gestión de riesgo exige diferentes roles para los profesionales de seguridad  según el nivel del negocio: 

Decisiones a nivel ejecutivo, los líderes de seguridad deberán transmitir a los ejecutivos de la  compañía, información y métricas sobre la seguridad de la organización y la postura de riesgo de una 

forma sencilla y rápida de comprender. No es razonable esperar que un ejecutivo no técnico  comprenda si 100,000 vulnerabilidades en el entorno son buenas o malas o que tipos de intentos de  ataque se bloquearon o qué parches se instalaron. La falta de contexto hace que estos números sin  procesar carezcan de mucho sentido para las decisiones de negocios. En cambio, los líderes de  seguridad deben enfocarse en ofrecer métricas basadas en el tiempo, de tendencias o de porcentajes  que ofrezcan a los ejecutivos una forma rápida de comprender cómo contribuye el programa de  seguridad a las metas generales del negocio

Decisiones a nivel estratégico, a medida que avanzan en el organigrama dentro del equipo de  seguridad, los tomadores de decisiones de nivel estratégico (comúnmente directores, líderes de  equipo u otros gerentes de nivel medio) deben apoyar a los equipos de nivel ejecutivo para hacer  mejores decisiones para la dirección general del negocio y, al mismo tiempo, ayudar a los equipos de  nivel táctico a ser más eficientes y efectivos en sus esfuerzos de remediación para reducir el riesgo. 

Un componente clave de este nivel de toma de decisiones es validar que un proceso sea efectivo,  eficiente y que aumente la capacidad de la organización de reducir el riesgo y hacer madurar el  programa en general. Existen tres áreas clave que mejoran la eficacia con el nivel estratégico de toma  de decisiones: 1) Comprender la criticidad de los activos; 2) Priorizar amenazas y vulnerabilidades y 3)  Comprender la tendencia de la reducción de riesgos a lo largo de las unidades de negocio.  

Con lo anterior será posible identificar puntos ciegos y tomar medidas para hacer madurar estos  procesos y proporcionar datos más completos y de calidad con el fin de seguir ejecutando una toma  de decisiones a nivel estratégico más efectiva. 

Decisiones a nivel táctico, según factores como la estructura organizativa, el tamaño del equipo de  seguridad y cómo haya segmentado el negocio las responsabilidades entre el área de seguridad, TI y  operaciones, es posible que el equipo de seguridad no esté involucrado activamente en los procesos  tácticos diarios de los esfuerzos de corrección activos. Cualquiera sea el caso, la ejecución de tareas  de corrección de forma eficiente y efectiva es crítica para reducir riesgos en la organización. El equipo  de seguridad cumple un rol activo en convertir los hallazgos de seguridad en pasos recomendados  específicos que permitan una ejecución operativa exitosa.  

Finalmente, Tenable insistió en que los líderes de seguridad deben adoptar iniciativas más dinámicas  sobre cómo ejecutan los diferentes niveles de toma de decisiones a fin de comprender mejor las áreas  críticas de una organización, asignar correctamente los recursos para salvaguardar esas funciones y  capacitar a los equipos en las trincheras con el propósito de asegurar y proteger a los usuarios, los  clientes, los datos y todos los demás activos dentro del entorno.