SEGURIDAD | Artículos | 18 JUN 2018

Los CEO son de Marte, los CISO de Venus

No aprovechar al máximo el talento disponible en la empresa puede suponer perder oportunidades de negocio. Cuando este talento está relacionado con la seguridad, lo que se puede poner en riesgo es la supervivencia de la compañía.
seguridad
David Lumbreras

En un escenario tan complejo como el actual, los directivos deben esforzarse en cerrar la brecha que muchas veces se abre entre los equipos responsables de la tecnología y el consejo de dirección, a fin de poder tomar las mejores decisiones estratégicas.

A la hora de diseñar una arquitectura de seguridad para proteger los datos y las operaciones de una organización frente al panorama de amenazas existente, los profesionales encargados de ello siempre lograrán mejores resultados si cuentan con la colaboración de los responsables del negocio. No abordar esta tarea en equipo puede llevar a poner en marcha medidas poco eficientes, que no protejan correctamente todas las áreas y pongan en riesgo la información crítica.

Evaluar dónde va la inversión

Calcular el impacto económico de una brecha de seguridad es complicado ya que intervienen múltiples factores. Sin embargo, en un reciente estudio publicado por el Instituto Ponemon, se afirma que este coste se ha incrementado en un 23% en 2017, llegando a alcanzar los 11,7 millones de dólares de media para cada empresa. Al mismo tiempo, según el mismo informe, el número de infracciones sufridas ha crecido un 27% el año pasado.

Los expertos en seguridad y los arquitectos de la infraestructura tecnológica se sienten, a menudo, habitantes de un planeta diferente al de los CXOs. Gran parte de los directivos sigue tomando decisiones que afectan a las TI cortoplacistas y basadas solamente en el factor coste. Además, en muchas ocasiones, ni siquiera se calibra correctamente el supuesto ahorro de costes asociado a la inversión. Por ejemplo, según el mencionado estudio, las soluciones perimetrales siguen representando la mayor partida del gasto de las organizaciones en el área de seguridad, a pesar de que no son ni de lejos las que mayor ahorro en costes pueden proporcionar a medio plazo.

Para tener éxito en la nueva economía digital se requiere un pensamiento integral que tenga en cuenta la realidad individual de cada empresa. A la hora de tomar una decisión, es necesario valorar múltiples factores que, además, aparecen relacionados entre sí. Es posible, y también es una obligación evaluar cómo gastamos. En el caso de la seguridad, esto implicaría claramente orientarse hacia la seguridad de las aplicaciones, ya que se han convertido en la puerta de acceso preferida por los hackers, ya sea en la nube, en el centro de datos local o en cualquier otro entorno.

La diversidad de voces es buena para el negocio

Siguiendo estos tres sencillos pasos, las empresas pueden garantizar una mayor alineación con sus expertos en seguridad para anticipar el futuro y evitar tomar decisiones poco eficaces:

  • Realizar ejercicios de recuperación de desastres o pruebas de penetración

Involucrar a los ejecutivos en la planificación y ejecución de ejercicios de recuperación de desastres o pruebas de penetración proporciona una imagen clara de la realidad actual de los ciberataques. Este enfoque supone ir más allá de una auditoría de seguridad estándar, porque tiene como objetivo descubrir las vulnerabilidades en la seguridad de TI y la efectividad de las operaciones en el mundo real. De esta forma es posible identificar riesgos y mostrar la magnitud de su impacto potencial en las operaciones del negocio. La información que facilitan estas prácticas es importante para los ejecutivos y ayuda a los CISO y arquitectos de TI a priorizar recursos y a planificar una inversión en seguridad precisa y eficiente.

  • Calcular el coste que puede suponer el tiempo de inactividad

Este coste dependerá de múltiples factores: facturación, sector de actividad, duración de la interrupción, áreas afectadas… Independientemente de las circunstancias, los fallos de las redes o de las aplicaciones impactan directamente en las operaciones. La atribución de un coste específico al tiempo de inactividad ayudará a los arquitectos de TI a justificar la infraestructura de seguridad necesaria para poder supervisar, restaurar y reiniciar los sistemas de forma adecuada.

  • Involucrar a un especialista externo

Si los CXO no entienden las prácticas de seguridad, puede ser complicado para los CISO hacerse entender e impulsar un diálogo dirigido a mejorar las estrategias de ciberseguridad. Invitar a un consultor externo a participar en la conversación puede brindar una nueva perspectiva, conseguir información valiosa sobre la inteligencia de las nuevas amenazas, ayudar a delinear tendencias relevantes y lograr un buen asesoramiento sobre cómo afrontar la actividad de los hackers.

Los directivos que no se relacionen directamente con los expertos en seguridad de su empresa estarán desaprovechando un talento que puede resultar fundamental para la evolución del negocio. En estos tiempos, desarrollar una estrategia comercial sin incorporar el factor seguridad supone adentrarse en un mundo oscuro e incierto. Por el contrario, una colaboración más efectiva de todos los niveles de la organización logrará optimizar las operaciones, consiguiendo que se ejecuten de forma más rápida, más inteligente y más segura. Es decir, un mayor equilibrio de voces en la sala de juntas se traducirá en mejores resultados.

David Lumbreras es director de Canal para el sur de Europa en F5 Networks

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios