19 minutos de lectura 22 jul. 2021

            Reformula tu futuro mujer surfer en aguas con tormenta de fondo

Ciberseguridad: ¿Cómo hacer frente a las olas de una tormenta perfecta?

La Encuesta Global de Seguridad de la Información 2021 de EY revela que los CISO y los líderes de seguridad están luchando contra una nueva ola de amenazas desatadas por COVID-19.

En resumen
  • La ciberseguridad está bajo presión: el 81% de los ejecutivos afirma que COVID-19 obligó a las organizaciones a saltarse los procesos de ciberseguridad.
  • Destacan tres desafíos: presupuestos insuficientes, complejidad de la normativa y relaciones tensas con la empresa.
  • Si los CISO pueden corregir las deficiencias con un enfoque de seguridad por diseño, se convertirán en facilitadores del crecimiento en la era del resurgimiento.

La Encuesta Global de Seguridad de la Información 2021 de EY (GISS, por sus siglas en inglés) ilustra el impacto devastador y desproporcionado que la crisis de COVID-19 ha tenido en una función que se esfuerza por posicionarse como facilitadora del crecimiento y socia estratégica del negocio.

A través de una encuesta global realizada a más de 1.000 líderes de ciberseguridad de alto nivel, descubrimos que los CISO y los líderes de seguridad se enfrentan a presupuestos inadecuados, luchan contra la fragmentación normativa y no logran encontrar un terreno común con las funciones que más los necesitan.

De hecho, la agitación de la pandemia global ha creado una tormenta perfecta de condiciones en las que los agentes de amenazas pueden actuar. Desde el informe GISS 2020, se ha producido un aumento significativo del número de ataques disruptivos y sofisticados, muchos de los cuales podrían haberse evitado si las empresas hubieran incorporado la seguridad por diseño en toda la empresa.

La relación del CISO con la empresa también está sometida a más tensión que antes, y la consecuencia es una mayor exposición a los riesgos cibernéticos. Además, las restricciones presupuestarias hacen que los CISO se esfuercen por salvar la distancia entre las necesidades y la financiación.

Es probable que la situación empeore antes de mejorar. Las organizaciones quieren invertir en tecnología e innovación para la era post-COVID-19, y necesitan asegurar la resiliencia para la próxima disrupción importante, pero muchas todavía tienen que abordar los riesgos diferidos y las vulnerabilidades potenciales que se introdujeron durante sus esfuerzos de transformación en el punto álgido de la pandemia.

Los CISO se encuentran en una encrucijada. Para hacer frente a los complejos y agotadores problemas a los que se enfrentan, deben actuar con rapidez. Los capítulos que siguen describen lo que los líderes de ciberseguridad deben saber ahora sobre su entorno operativo actual y lo que deben hacer para transformarlo.

Sobre la investigación

.


            Hombre surfeando una ola en su tabla de surf
(Chapter breaker)
1

Capítulo 1

El CISO en la encrucijada

Una época de estrés, cambios y oportunidades.

En el último año, todas las empresas han tenido que adaptarse a la disrupción de una forma u otra. En plazos que hace poco tiempo se habrían considerado imposibles, las organizaciones progresistas desplegaron nuevas tecnologías de cara al cliente y herramientas basadas en la nube que permitían el trabajo a distancia y mantenían abierto el canal de comercialización.

Pero la velocidad del cambio tuvo un alto precio. Muchas empresas no incluyeron la ciberseguridad en el proceso de toma de decisiones, ya sea por descuido o por la urgencia de avanzar lo más rápido posible. Como resultado, nuevas vulnerabilidades entraron en un entorno que ya se movía rápidamente y siguen amenazando a las empresas en la actualidad.

La rápida transformación conlleva nuevos riesgos

En el momento de escribir estas líneas, es posible que los CISO y sus equipos aún no hayan completado una evaluación completa del impacto a largo plazo que la nueva tecnología de su empresa tendrá en sus defensas. Pero mientras tanto, es probable que sus colegas sigan utilizando la tecnología a pesar de todo.

"La urgencia de la crisis hizo que se pasara por alto la seguridad incluso mientras las organizaciones abrían sistemas que nunca antes habían estado abiertos", reflexiona Richard Watson, EY Asia-Pacific Cybersecurity Risk Consulting Leader. "No todas las organizaciones reconocen que ahora necesitan volver atrás y abordar esos problemas".

Sin embargo, los riesgos de seguir adelante sin abordar los problemas son muy reales y cada vez más urgentes. Más de tres de cada cuatro (77%) encuestados en el GISS de este año advierten que han visto un aumento en el número de ataques disruptivos, como el ransomware, en los últimos 12 meses. En cambio, sólo el 59% vio un aumento en los 12 meses anteriores.

Sin embargo, los CISO tienen dificultades para hacerse oír. La mayoría de los encuestados (56%) admite que los equipos de ciberseguridad no son consultados, o lo son demasiado tarde, cuando el liderazgo toma decisiones estratégicas urgentes. Aunque algunos sostienen que esto ocurre "no muy a menudo", sólo hace falta que ocurra una vez para que un fallo en las defensas sea aprovechado por los actores de las amenazas.


            Figura 2 del GISS

El resultado es la ansiedad por lo que depara el futuro. "Nos esforzamos en que la seguridad sea un facilitador", dice Richard Watson. "Pero todavía hay organizaciones que lanzan proyectos a la seguridad justo antes de que entren en funcionamiento".

En el peor de los casos, los CISO descubren que sus advertencias son ignoradas. En el GISS de este año, el 43% afirma que nunca ha estado tan preocupado como ahora por su capacidad para gestionar las amenazas cibernéticas. Pero no tiene por qué ser así.

TikTok – Seguridad por diseño, a toda velocidad

Roland Cloutier, Director de Seguridad Global (CSO) de la plataforma de entretenimiento y video de formato corto TikTok, está profundamente involucrado en la toma de decisiones estratégicas de forma iterativa, semana a semana. "Puede ser desde una estrategia de crecimiento de usuarios hasta un nuevo tipo de monetización o producto musical", dice. "Todos implican la construcción y distribución de nuevas tecnologías. Me centro en comprender las implicaciones de las amenazas existentes y desconocidas, y luego añado velocidad, seguridad y privacidad por diseño en el producto a medida que se construye. Luego preparo a la organización para la nueva información que llega. ¿Cómo lo hacemos a la velocidad de Internet y a la velocidad de la cultura? Eso es lo que hace que este trabajo sea tan divertido".

Los actores de las amenazas han alcanzado un nuevo nivel de madurez

En el último año, los actores de las amenazas han adoptado cada vez más nuevas estrategias, ya sea dirigiéndose a las empresas con campañas de phishing que contienen software malicioso que es reenviado por los empleados, o mediante la inserción de un código backdoor que les permite explotar el software comercial después de que haya sido adquirido por los clientes.

La realidad es que hoy en día se manifiestan más amenazas de las que hemos visto nunca. Ha sido alimentado por el modelo de negocio del ransomware, que está demostrando ser muy eficaz.
Dave Burg
EY Americas Cybersecurity Leader

Lo que está en juego no podría ser mayor. Los hackers que cerraron el oleoducto US Colonial Pipeline en mayo de 2021 utilizaron un ransomware como servicio que otros pueden obtener a través de la dark web, lo que supone un riesgo para las organizaciones críticas de la economía y la sociedad en general. Al mismo tiempo, los individuos que se infiltraron en SolarWinds durante varios meses en 2020 lo hicieron a través de un sofisticado ataque a la cadena de suministros que era en gran medida desconocido para los equipos de seguridad.

Los atacantes se dirigen a una superficie cada vez mayor y sus tácticas son cada vez más imprevisibles. Sólo uno de cada tres encuestados confía en su capacidad para hacer que la cadena de suministros sea adecuadamente robusta o hermética, lo que pone de manifiesto la importancia de trabajar estrechamente con los colegas de compras y operaciones. Menos de la mitad (47%) afirma que entiende y puede anticipar las estrategias que utilizan los atacantes, un problema que se ha visto ilustrado por los incidentes en los que los actores de las amenazas se infiltran en el software que luego se vende a los clientes.

No es que la necesidad de una rápida transformación haya pasado. En el momento de redactar este informe, se han realizado avances significativos en la respuesta a COVID-19, pero la crisis pasará por varias etapas antes de que las empresas vuelvan a la "normalidad" – sea cual sea.

Los empleadores, por ejemplo, buscan apoyar los modelos de trabajo híbridos mientras desbloquean el crecimiento en una economía en recuperación. Un reciente estudio de EY, Work Reimagined 2021, descubrió que el 54% de los encuestados consideraría la posibilidad de renunciar si sus empleadores les negaran la flexibilidad que buscan. Los CISO también deberían ser conscientes de que la mitad de los empleados (48%) quieren invertir en nueva tecnología para las oficinas en casa, lo que abre la posibilidad de una mayor exposición si las empresas no pueden abordar la seguridad desde el diseño.

Todos los ojos están puestos en el CISO

Los CISO se enfrentan a un momento crítico. Si pueden apoyar la transformación digital desde la fase de planificación – en un momento en el que el 68% de los CEO están planeando una importante inversión en datos y tecnología en los próximos 12 meses, según el EY CEO Imperative Study 2021 – se convertirán realmente en un facilitador estratégico del crecimiento. Si no pueden desempeñar un papel más activo en la transformación, las amenazas a la seguridad se acelerarán y su posición en la sala de juntas disminuirá.

El equipo directivo ya está preocupado por la capacidad de la función de seguridad para proteger a la organización. Más de la mitad (55%) de los encuestados afirman que la ciberseguridad está siendo objeto de un mayor escrutinio hoy en día que en cualquier otro momento de sus carreras. Cuatro de cada 10 (39%) organizaciones incluyen la ciberseguridad en las agendas de sus juntas directivas trimestralmente, frente al 29% en 2020.

Y, sin embargo, en el EY Global Board Risk Study 2021, sólo el 9% de las juntas directivas se declararon muy seguros de que los riesgos de ciberseguridad y las medidas de mitigación que se les presentan pueden proteger a la organización de ciberataques importantes, lo que supone un descenso respecto al 20% del año pasado.


            Figura 5 del GISS

Una oportunidad en la crisis

Los CISO que pueden mitigar el riesgo, al tiempo que permiten el crecimiento de sus empresas y sus ambiciones tecnológicas, tienen un futuro brillante. La mayoría lo reconoce: El 57% cree que la crisis proporciona una oportunidad para que la ciberseguridad aumente su perfil.

Dave Burg insta a los CISO a aprovechar su mayor visibilidad. "Conozco a muchos responsables de seguridad que eran vistos como "súper estrellas", y queremos que esas "súper estrellas" pasen al frente de la innovación", afirma.

Entonces, ¿están los CISO preparados para aprovechar la oportunidad de un nuevo papel que permita el crecimiento? ¿Pueden incorporar la resiliencia antes de que se produzca la próxima gran disrupción empresarial? La respuesta debe ser afirmativa – pero sólo si primero pueden abordar tres desafíos críticos e interrelacionados que se interponen en su camino:

  1. La organización de la ciberseguridad está gravemente desprovista de fondos, en un momento en que necesita más que nunca financiación y apoyo flexible.
  2. La fragmentación normativa es un dolor de cabeza cada vez mayor, que crea trabajo adicional y nuevos problemas de recursos.
  3. Las relaciones de la ciberseguridad con otras funciones se están deteriorando – precisamente cuando más se necesitan conexiones más fuertes.

            Mujeres surfistas caminando hacia el mar con tabla de surf vista lateral
(Chapter breaker)
2

Capítulo 2

Tres desafíos que frenan al CISO

La tormenta perfecta para la ciberseguridad.

1. La organización de la ciberseguridad de hoy en día está gravemente desprovista de fondos

A pesar de la creciente amenaza de ataques cibernéticos, el presupuesto de ciberseguridad es bajo en relación con el gasto general en IT. Los datos de la encuesta también sugieren que los procesos de asignación presupuestaria son en gran medida inflexibles, a pesar de la necesidad de agilidad en respuesta a la volatilidad de la era de la pandemia y la perspectiva de futuras disrupciones.

Kris Lovejoy

Los modelos de financiación actuales son simplemente inadecuados para lo que es, en efecto, un riesgo existencial. También es sintomático de la escasa comprensión que tienen muchas empresas de los problemas cibernéticos y de su falta de implementación de una cultura de seguridad por diseño.

Los presupuestos no están sincronizados con las necesidades

Para la elaboración de este informe, EY realizó entrevistas cualitativas con responsables de ciberseguridad y encuestó por separado a 1.010 profesionales senior de ciberseguridad. Los encuestados, en promedio, tuvieron unos ingresos de aproximadamente 11.000 millones de dólares el año pasado, mientras que gastaron una media de solo 5,28 millones de dólares, o el 0,05% del total, en ciberseguridad al año.

El panorama varía de un sector a otro. En un extremo, en los sectores altamente regulados de los servicios financieros y de la tecnología, los medios y el entretenimiento y las telecomunicaciones (TMT), el encuestado promedio de GISS gastó una media de 9,43 millones de dólares y 9,62 millones de dólares respectivamente en ciberseguridad el año pasado. En el otro extremo del espectro, las empresas energéticas gastaron sólo 2,17 millones de dólares de media. También se observan diferencias según el tamaño de la empresa, siendo las más pequeñas las que más gastan.


            Figura 6 del GISS

Uno de los problemas está relacionado con la forma de planificar y asignar el presupuesto. Alrededor de seis de cada diez (61%) encuestados afirman que su presupuesto de seguridad forma parte de un gasto corporativo mayor, como el de IT, y el 19% afirma que es fijo y se define cíclicamente. Más de un tercio (37%) afirma que los costos de ciberseguridad se reparten entre toda la organización, pero sólo el 15% lo hace de forma dinámica, dependiendo de cómo se utilicen los recursos.

En otras palabras, muy pocas organizaciones definen sus presupuestos de seguridad como un costo variable y contingente del negocio. En efecto, los CISO pueden tener dificultades para escalar los esfuerzos de sus funciones en el contexto de iniciativas empresariales específicas y en rápida evolución.

La reducción de costos crea nuevas debilidades

Los CISO son muy conscientes de las vulnerabilidades a las que se enfrentan sus organizaciones debido a presupuestos inflexibles e insuficientes.

La falta de financiación conlleva el riesgo de una vulneración

36%

de los encuestados están de acuerdo en que es sólo cuestión de tiempo que sufran una vulneración que podría haberse evitado mediante la inversión.

Cuatro de cada 10 encuestados (39%) señalan que los gastos de ciberseguridad no se tienen en cuenta adecuadamente en el costo de las inversiones estratégicas, como la transformación de la cadena de suministros de IT. Más de un tercio (36%) afirma que es solo cuestión de tiempo que sufran una vulneración importante que podría haberse evitado si se hubiera invertido más adecuadamente en defensas de ciberseguridad.

Teniendo en cuenta cómo las organizaciones se han apresurado a transformar sus operaciones ante la disrupción, podríamos esperar que el problema se intensifique a medida que las empresas invierten para apoyar el crecimiento. Cuatro de cada diez encuestados (39%) advierten que el presupuesto de su organización está por debajo de lo necesario para gestionar los nuevos desafíos que han surgido en los últimos 12 meses.

Un resultado inevitable de las restricciones presupuestarias es que los CISO tomen decisiones difíciles y reduzcan algunas de las actividades estratégicas que se habían puesto en marcha antes de que comenzara la crisis. Más de la mitad (56%) de las empresas con presupuestos insuficientes nos dicen que han tenido que reajustar sus requisitos de ciberseguridad. Y el 44% afirma que se han visto obligadas a reducir costos centrándose en su arquitectura y sistemas heredados.


            Figura 8 del GISS

Sin embargo, una minoría de organizaciones adopta un enfoque más estratégico de la financiación de la ciberseguridad. En Assicurazioni Generali, una de las principales aseguradoras del mundo, el Director de Seguridad del Grupo, Remo Marini, afirma que la empresa adopta un enfoque basado en el riesgo para la financiación de la ciberseguridad. "Establecemos un vínculo directo entre las inversiones en seguridad, el valor del negocio y la reducción del riesgo", afirma. "Nuestro presupuesto refleja una sofisticada actividad de planificación que parte de la definición de nuestra estrategia, normalmente con un horizonte de tres años, y recopila las aportaciones de todas los stakeholders internos y externos relevantes."

2. La fragmentación normativa es un dolor de cabeza creciente para los CISO

El entorno de cumplimiento global es cada vez más complejo, con jurisdicciones que operan a nivel regional y nacional en todo el mundo. Las organizaciones de determinados sectores – sobre todo los servicios financieros – también deben gestionar la normativa específica del sector.

Mike Maddison, EY EMEIA Cybersecurity Consulting Leader, cree que la regulación es una preocupación creciente. "Si eres una organización internacional, la forma en que gestionas estas regulaciones superpuestas – pero a veces conflictivas – es un desafío, particularmente a medida que la información se vuelve omnipresente y viaja internacionalmente."

Una fuga de tiempo y recursos valiosos

La normativa reclama un tiempo que los CISO no tienen que dar. Uno de cada dos (49%) advierte que garantizar el cumplimiento de la normativa puede ser la parte más estresante de su trabajo. Seis de cada 10 (57%) prevén que la normativa será más heterogénea, lenta y – algunos dirían – caótica en los próximos años. Como los CISO luchan por conseguir los recursos que necesitan, es comprensible el impacto en sus niveles de estrés.

"La agenda regulatoria está cada día más cargada, ya que los reguladores locales e internacionales intensifican su atención", confirma Marini, de Assicurazioni Generali. "Estamos asistiendo a una proliferación de regulaciones que plantean dificultades, sobre todo para los grupos internacionales. Un marco estandarizado y común sería más eficiente".


            Figura 9 del GISS

Una preocupación adicional, al menos en Estados Unidos, es que el Departamento de Justicia ha elevado los ataques de ransomware al mismo nivel de prioridad que el terrorismo y está coordinando las investigaciones a través de un grupo de trabajo en Washington. En el momento de escribir este artículo, no estaba claro qué recursos se pondrán a disposición de las organizaciones del sector privado que sean víctimas de los ataques.

El cumplimiento pasa de amigo a enemigo del presupuesto...

Se ha producido un cambio fundamental en la forma en que los CISO consideran el cumplimiento, lo que tiene implicaciones preocupantes para su relación con el regulador. En el momento de la GISS del año pasado, los CISO seguían siendo positivos sobre el papel del cumplimiento. Este año, reconocen que el cumplimiento ha cambiado. Se ha vuelto tan fragmentado y complejo que ahora es una distracción. El cumplimiento ya no es el amigo del CISO porque ya no justifica los presupuestos de la forma en que lo hacía. El cumplimiento se ha convertido en su enemigo.

Además, los CISO confían menos este año en que la regulación apoye la mejora de los estándares de ciberseguridad en las organizaciones.

En el GISS del año pasado, el 46% de los encuestados pensaba que el cumplimiento de la normativa impulsaba los comportamientos correctos dentro de su empresa. En 2021, esta cifra se ha reducido al 35%. Al mismo tiempo, menos de uno de cada cinco (18%) encuestados describen la normativa como una forma eficaz de argumentar ante sus juntas directivas para obtener un presupuesto adicional, frente al 29% en 2020.

Aunque los altos ejecutivos pueden ser más receptivos a los casos empresariales que vinculan el aumento del gasto en ciberseguridad con la transformación, parecen menos conmovidos que por las advertencias de los CISO sobre la creciente carga de cumplimiento.

No todos los líderes de la ciberseguridad son pesimistas respecto a la normativa. Roland Cloutier, de TikTok, afirma que la normativa consume "al menos el 50 o el 60%" de su tiempo, pero sigue siendo positivo en general. "Nuestros programas estratégicos de seguridad se basan en los requisitos de la próxima generación en torno a las consideraciones normativas y la protección del consumidor. Eso es algo estupendo. Estamos haciendo que nuestros productos estén preparados para el futuro. Nos está ayudando a crear el concepto líder en la industria de cómo operar como una empresa dedicada a proteger la seguridad y la privacidad de nuestros usuarios en todo el mundo."

3. Las relaciones de la ciberseguridad con otros líderes se están deteriorando

Para gestionar el riesgo cibernético que conlleva la transformación estratégica, los CISO deben asesorar en las primeras fases de la toma de decisiones de inversión. Pero las relaciones entre la ciberseguridad y otras funciones de la empresa, que son esenciales para que estas consultas tengan lugar, carecen de positividad y solidez.

Los líderes empresariales excluyen al CISO

Las relaciones débiles han sido durante mucho tiempo una preocupación para los CISO, pero el GISS de este año sugiere que el problema se está agravando. Según la encuesta, los líderes empresariales están dejando de lado la ciberseguridad en las conversaciones vitales. Alrededor de seis de cada diez (58%) dicen que su organización a veces implementa nuevas tecnologías con plazos que no permiten una evaluación o supervisión adecuada de la ciberseguridad.

Dan Higgins, EY Global Consulting Technology Leader, califica de preocupante que los CISO participen tarde en el proceso de despliegue de nuevas soluciones tecnológicas y de datos. "Es imperativo que los CISO se sienten a la mesa en las fases de estrategia y arquitectura de soluciones de la transformación digital, cuando estos riesgos pueden abordarse y evitarse de forma proactiva", afirma.

Es una tendencia que puede ser impulsada desde la cúpula de la empresa. Según el estudio EY CEO Imperative Study 2021, los CEO ya no describen la ciberseguridad como su principal preocupación, como lo hicieron en 2020. Su atención en 2021 ha pasado a centrarse en los desafíos relacionados con la adopción de nuevas tecnologías.

La pandemia está empeorando las cosas: el 81% de las organizaciones eludieron los procesos cibernéticos y no consultaron a los equipos de ciberseguridad en la fase de planificación de las nuevas iniciativas empresariales.

"En el entorno dinámico que vimos durante COVID, había una gran necesidad de rapidez y las organizaciones se preguntaban si los equipos de ciberseguridad tenían las habilidades adecuadas", dice Mike Maddison. "¿La cultura era la adecuada: se los consideraba como personas que obstruían o como personas que ofrecían soluciones eficaces? Cuando las respuestas a estas preguntas eran dudosas, otras partes de la organización actuaban por su cuenta sin el equipo de ciberseguridad".

Las relaciones son más débiles donde tienen que ser fuertes

El problema es más grave entre las funciones que desplegarán y ampliarán la nueva tecnología basada en la nube en los próximos meses y que, por lo tanto, corren un gran riesgo de verse comprometidas por hackers que desplieguen ransomware.

En el estudio de este año, el 41% de los encuestados describe su relación con la función de marketing como negativa, frente al 36% que dijo lo mismo hace un año. Al mismo tiempo, el 28% dice que su relación con los empresarios es mala, frente al 23% de hace un año.

El resultado es que, mientras que más de un tercio de los encuestados en 2020 (36%) confiaba en que los equipos de ciberseguridad eran consultados en la fase de planificación de las nuevas iniciativas empresariales, esta cifra ha caído al 19% en 2021.


            Figura 11 del GISS

Las relaciones de la ciberseguridad con las líneas de negocio, el desarrollo de productos y el marketing son negativas – mientras que sus interacciones con el riesgo, el área legal y la IT son positivas. Esencialmente, las relaciones se vuelven más positivas para el CISO cuanto más lejos del ciclo de planificación se encuentran, lo cual es un problema. Donde más se necesita la participación de la cibernética, para apoyar el crecimiento, no se la convoca a participar.

Fallo en la comunicación

La mala comunicación entre los equipos es un obstáculo para el progreso. Los CISO nos dicen que les cuesta conseguir que su gente articule la necesidad de la ciberconsulta en términos comerciales. Además, la empresa puede reconocer los puntos fuertes tradicionales de la ciberseguridad, como el control del riesgo, pero no siempre la percibe como un socio estratégico.

"En toda la industria, he visto un cambio de mentalidad positivo con las juntas directivas reconociendo que la ciberseguridad es un riesgo", dice Darren Kane, Director de Seguridad de NBN Co en Australia, que participó en una entrevista cualitativa para este informe pero no en la encuesta. "Pero los CISO todavía tienen más trabajo que hacer para romper las barreras de comunicación hablando en un lenguaje menos técnico para que los consejos de administración entiendan mejor los posibles riesgos de negocio".

Menos de la mitad de los encuestados (44%) confía en la capacidad de su equipo para hablar el mismo lenguaje que sus compañeros, y sólo el 26% cree que los líderes más senior utilizarían esos términos para describir la función. Sólo uno de cada cuatro (25%) cree que los altos directivos describirían la ciberseguridad como algo comercial.

Los encuestados admiten que es mucho más probable que el resto de la organización describa la ciberseguridad como la protección del negocio y la respuesta rápida a las crisis. Aunque estas son cualidades admirables en sí mismas, deben equilibrarse con la capacidad de comunicar, persuadir y generar confianza.


            Dramáticas tormentas de nubes y rayos crepusculares en las grandes llanuras
(Chapter breaker)
3

Capítulo 3

Próximos pasos para el CISO

El CISO como facilitador de valor.

¿Cómo deben responder los CISO a los principales desafíos expuestos en el GISS de este año? No cabe duda de que deben desempeñar un papel más estratégico y comercial en sus organizaciones, reinventando sus equipos como facilitadores de la transformación.

"Los CISO son fundamentales para los esfuerzos de una organización por transformarse y ofrecer valor a largo plazo", afirma Errol Gardner, EY Global Vice Chair-Consulting. Al hablar de cómo los CISO deben posicionarse como facilitadores de la transformación, Gardner añade: "Mientras los CEO están en el camino de realizar su visión y transformar con éxito sus negocios a través de la tecnología, no pueden permitirse el lujo de hacer la vista gorda a los riesgos cibernéticos que esto plantea."

"Al mismo tiempo, corresponde a los CISO asegurarse de que los CEO entienden correctamente el valor que aporta la inversión en ciberseguridad y que lo reconocen como una parte integral del viaje de transformación. Invertir en la construcción de una relación estratégica entre los CISO, los CEO y el resto de la C-suite ayudará a asegurar que los programas de transformación no sólo sean exitosos, sino que también se implementen de una manera cibersegura para la organización y su gente."

Pero la capacidad de los ejecutivos de ciberseguridad para ejercer influencia, y para garantizar que la empresa en general apoye su creciente papel, está lejos de ser segura. Ocho de cada diez juntas directivas creen que la mejora de la gestión de riesgos será fundamental para proteger y crear valor, según el EY Global Board Risk Study 2021, pero esperamos que la contribución del CISO sea menos reconocida en la actualidad.

Nuestras conclusiones sugieren que los CISO deberían considerar tres acciones fundamentales para fortalecer su posición dentro de la empresa: Reevaluar su alineación con el negocio; revisar el perfil de talento; y centrarse en cuatro grupos de stakeholders clave.

Cabe señalar que estas acciones son coherentes con las orientaciones que dimos en nuestro informe de 2020, aunque con cierta evolución en el proceso de pensamiento subyacente. En todo caso, los acontecimientos de la época de la crisis no han hecho más que acentuar su urgencia y poner de relieve la importancia de llevarlas a cabo correctamente.

1. Llegar a la "verdad de fondo" – reevaluar su alineación con el negocio

Los equipos de ciberseguridad han sido tradicionalmente los más fuertes a la hora de evaluar sus capacidades, identificar los riesgos y crear hojas de ruta para el futuro.

Los CISO deben centrar su atención en los elementos de ciberseguridad en los que muchos han sido más débiles en el pasado. En concreto, deben tratar de reforzar su compromiso con los stakeholders, garantizar su alineación con las metas y objetivos empresariales fundamentales y evaluar la satisfacción de sus socios comerciales con el rendimiento y la prestación de servicios de seguridad.

Como sus relaciones con los socios comerciales se han deteriorado en los últimos años, los CISO pueden carecer ahora de la visibilidad que necesitan para operar en sincronía con otras funciones y perseguir una estrategia que se alinee con el negocio.


            Integración cibernética de la empresa

2. Revisa tu perfil de talento – pero no esperes lo imposible

Para responder a los desafíos organizativos destacados por la encuesta, así como a la naturaleza sofisticada de los recientes ataques de alto perfil, los CISO necesitan el apoyo de profesionales versátiles y con múltiples habilidades.

Un desafío es que la amplitud de las competencias necesarias en la función actual se está ampliando en varias direcciones a la vez. No existe un perfil de ciberseguridad "estándar". Los CISO necesitan personas con conocimientos técnicos avanzados, así como la capacidad de establecer relaciones interdepartamentales. Necesitan personas con pasión por la innovación y el crecimiento – que también puedan detectar amenazas emergentes y encontrar fallos en las defensas.

A continuación describimos algunos de los muchos perfiles de ejecutivos de ciberseguridad que han surgido en los últimos años, a pesar de la relativa novedad de la profesión. Cada perfil tiene su propia área de enfoque, se basa en su propia gama de habilidades blandas y cualificaciones profesionales, y desempeña un papel importante para satisfacer las necesidades cambiantes de la empresa.

Sin embargo, tratar de encontrar un individuo que posea todos estos talentos es como tratar de reclutar un unicornio. Un enfoque mejor es construir un equipo que equilibre una combinación de amplias disciplinas, entendiendo que cada una tiene sus propios puntos fuertes y débiles.

Múltiples perfiles en la función de ciberseguridad actual
 
Perfil ejecutivo de ciberseguridad Área de interés Puntos fuertes Puntos débiles
Experto en seguridad Todo sobre la seguridad Profundos conocimientos en la materia Falta de visión empresarial
Defensor de la tecnología Soluciones y herramientas tecnológicas Orientación tecnológica Pensamiento en silo
Profesionales del riesgo y de la reglamentación Riesgo, controles y cumplimiento Bueno para los sectores altamente regulados Falta de visión tecnológica
Trasplantes de empresas Integración empresarial Conectividad empresarial Falta de visión tecnológica y de seguridad
Trabajadores a tiempo parcial y alternantes Reparto entre la ciberseguridad y otras funciones principales Ahorro de costos "El que todo lo sabe, no es maestro de nada"

 

En lo que respecta a la creación de relaciones, los CISO deben asegurarse de que su personal tenga una mayor exposición a funciones como el marketing, la innovación y otras unidades de negocio relevantes. "La gente de ciberseguridad ha tenido la reputación de ocupar los niveles del sótano de un edificio de oficinas", dice Darren Kane. "Pero con el riesgo cibernético ahora uno de los principales riesgos operacionales de cualquier empresa, los equipos de ciberseguridad deben salir más y obtener una mayor exposición a otras partes del negocio".

3. Cambios en todas partes – una nueva brújula para los stakeholders

Los CISO están familiarizados con el principio de "desplazamiento a la izquierda", esforzándose por involucrar la ciberseguridad en una etapa más temprana del ciclo de vida de la transformación y el desarrollo de productos.

Sin embargo, los desafíos de COVID-19 indican que ya no basta con desplazarse hacia la izquierda. Nuestra sugerencia a los CISO es que se desplacen hacia el norte, el este, el sur y el oeste. En la práctica, esto significa navegar por cuatro grupos de stakeholders clave.

Abordar las preocupaciones de la dirección, en el "norte", significa centrarse en la presentación de informes y la responsabilidad, así como en la elaboración de presupuestos y la asignación de recursos. El cambio de enfoque "al este", hacia los reguladores, consiste en dar prioridad a las certificaciones y atestados, junto con el mapeo normativo. El cambio hacia el sur consiste en mejorar las normas y las pruebas. Y el cambio hacia el oeste implica centrarse en la seguridad y la privacidad por diseño, junto con las certificaciones y las pruebas continuas.

Si los CISO pueden posicionarse en el centro de estos cuatro stakeholders vitales, estarán en el lugar adecuado para llevar su función al siguiente nivel de influencia estratégica.


            Brújula cibernética de los stakeholders

Más allá de la tormenta

La crisis de COVID-19 ha sido una llamada de atención para los CISO. La empresa ha recurrido al equipo de ciberseguridad para que la proteja de una amenaza cibernética en evolución, al tiempo que permite una transformación tecnológica urgente y un nuevo crecimiento.

No cabe duda de que muchos CISO han estado a la altura del desafío y pueden demostrar hoy la creciente importancia estratégica de su función. Pero también sería justo señalar que la crisis ha puesto de manifiesto los puntos débiles de la ciberseguridad y las áreas en las que es necesario mejorar. En concreto, los CISO deben acelerar sus esfuerzos para abordar la seguridad desde el diseño, al tiempo que construyen relaciones más sólidas y basadas en la confianza con sus pares de la C-suite.

No se trata de una iniciativa sencilla, ni de una ambición que pueda alcanzarse en un año, pero el negocio está pendiente. Los CISO deben participar en la planificación de las inversiones estratégicas. De ellos depende asegurar ese asiento en la mesa.

  • Más detalles sobre la investigación

    Los datos del informe GISS de este año se basan en una encuesta realizada entre marzo y mayo de 2021 a los CISO y otros líderes senior de 1.010 organizaciones. Los CISO y otros profesionales de la C-suite comprendían el 50% de los encuestados; los demás eran profesionales de ciberseguridad C-1. Las encuestas se realizaron principalmente por teléfono, y una minoría se completó online.

    Se trata de una encuesta global en la que Europa, Oriente Medio, India & África (EMEIA) representan el 43% de los encuestados, América el 36% y la región de Asia-Pacífico el 20%. Entre los encuestados se encontraban CISO o sus equivalentes de los sectores de servicios financieros, productos de consumo y venta al por menor, salud y ciencias de la vida, energía, gobierno y tecnología, medios de comunicación y entretenimiento y telecomunicaciones. Todas las empresas incluidas en los datos de este informe tenían unos ingresos anuales superiores a 1.000 millones de dólares.

    Las comparaciones con 2020 representan una instantánea en el tiempo durante 2020 y 2021, basada en perfiles de muestra similares año tras año. Las empresas con ingresos anuales inferiores a 1.000 millones de dólares se incluyeron en 2020, pero no en 2021.

    Además de la investigación cuantitativa, EY llevó a cabo una serie de debates en profundidad con líderes de opinión en ciberseguridad entre abril y junio de 2021.

Resumen

La función de ciberseguridad puede convertirse en un factor vital de crecimiento. En primer lugar, tiene que abordar las carencias presupuestarias, superar la complejidad normativa y mejorar las relaciones con la empresa.