¿Cómo pasar de una seguridad aislada a una integrada?

4 minutos de lectura 18 feb 2020

Mostrar recursos

  • EY Global Information Security Survey 2020 (pdf)

El director de seguridad de la información (CISO, por sus siglas en inglés) que persiguen e impulsan una cultura de Security by Design puede desempeñar un papel crucial como facilitador de la transformación.

Ante las crecientes amenazas cibernéticas, muchas organizaciones se ponen a la defensiva y pierden una oportunidad de oro para obtener una ventaja competitiva al poner la seguridad cibernética y la privacidad mejoradas en el centro de su estrategia.

Para hacer el cambio a una cultura de Security by Design, los CISO deben abarcar las realidades comerciales que enfrentan sus organizaciones en un mercado disruptivo. Y el resto de los negocios, desde el nivel de la junta directiva hacia abajo, deben asegurar que la ciberseguridad sea un tema tratado en la junta.

El cambio es una responsabilidad compartida: Los CISO pueden -y deben- colaborar más con el resto de la empresa, mientras que las juntas directivas, los líderes ejecutivos y otras funciones empresariales deben comprometerse a mantener una relación de trabajo más estrecha con sus colegas de seguridad cibernética. Solo de esta manera los equipos de seguridad cibernética pueden desempeñar un papel crucial como facilitadores de la transformación.

En la edición de este año de la Encuesta Global sobre la seguridad de la Información, vemos la evolución del papel de la función de ciberseguridad desde tres perspectivas:

1. Un fallo sistémico en la comunicación

Los atacantes activistas fueron la segunda fuente más común de material o de brechas significativas, según el informe. El aumento de los ataques de los activistas pone de relieve que la función de la seguridad cibernética requiere una comprensión mucho más profunda del entorno comercial de su organización. Los CISO que no trabajen en colaboración con sus colegas de toda la empresa se verán inevitablemente desviados por otras funciones y líneas de negocio que podrían, por ejemplo, lanzar nuevos productos o servicios que expongan a la organización a nuevas amenazas.

Las primeras conclusiones de la próxima encuesta sobre EY Global Board Risk identificaron a la "Disrupción de la tecnología" como la mayor oportunidad estratégica para las organizaciones. El hecho de que muchas organizaciones estén aprovechando esta oportunidad mediante la transformación tecnológica también exige que las organizaciones de consumidores, la junta directiva y la empresa colaboren aún más estrechamente. Esto es para que puedan incorporar soluciones de ciberseguridad en una etapa mucho más temprana de las nuevas iniciativas empresariales: una cultura de Security by Design.

Falta de Security by Design

36%

de las organizaciones dicen que la seguridad cibernética está involucrada desde la etapa de planificación de una nueva iniciativa comercial.

  • La amenaza cibernética y de la privacidad está aumentando y expandiéndose. Alrededor de 6 de cada 10 organizaciones (59%) se han enfrentado a un incidente material o significativo en los últimos 12 meses y, como revela la encuesta EY Global Board Risk, el 48% de las juntas directivas creen que los ataques cibernéticos y las violaciones de los datos tendrán un impacto más que moderado en sus negocios en los próximos 12 meses. Alrededor de una quinta parte de estos ataques (21%) procedían de "hacktivistas" (es decir, activistas políticos y sociales con conocimientos técnicos), en segundo lugar después de los grupos de delincuencia organizada (23%).
  • Solo el 36% de las organizaciones dicen que la seguridad cibernética interviene desde la etapa de planificación de una nueva iniciativa comercial.
  • El gasto en ciberseguridad está impulsado por prioridades defensivas más que por la innovación y la transformación: El 77% de los gastos de las nuevas iniciativas se centraron en el riesgo o el cumplimiento más que en la oportunidad.
  • Uno de cada cinco encuestados gasta el 5% o menos de su presupuesto de seguridad cibernética en el apoyo a nuevas iniciativas.

2. Aumentar la confianza con un reinicio de las relaciones

Por lo tanto, con Security by Design como objetivo, los CISO y sus colegas de toda la organización - incluyendo funciones como marketing, I+D y ventas - necesitan formar relaciones mucho más estrechas para mejorar la comprensión general de los negocios de la ciberseguridad y cumplir con la marca de Security by Design.

El aumento de la colaboración con otras funciones debe ser una prioridad, pero la ciberseguridad también necesita formar relaciones mucho más productivas con la junta y los líderes de alto nivel.

Es hora de reiniciar las relaciones

59%

de las organizaciones dicen que las relaciones entre la seguridad cibernética y las líneas de negocio son, en el mejor de los casos, neutrales, a desconfianza o inexistentes.

  • La relación entre la ciberseguridad y la comercialización es, en el mejor de los casos, neutra, a desconfiada o inexistente, según el 74% de las organizaciones; el 64% dice lo mismo del equipo de investigación y desarrollo; el 59% de las líneas de negocio. Los equipos de ciberseguridad incluso obtienen una mala puntuación en su relación con las finanzas de las que dependen para la autorización del presupuesto, donde el 57% de las empresas dicen que se quedan cortas.
  • Aproximadamente la mitad de los encuestados (48%) dice que la junta aún no comprende plenamente el riesgo de la ciberseguridad; el 43%, por su parte, dice que la junta no comprende plenamente el valor y las necesidades del equipo de ciberseguridad.
  • La encuesta EY Global Board Risk revela que las juntas directivas carecen de confianza en la seguridad cibernética de su organización, con un 50% - en el mejor de los casos - declarando que solo tenían una cierta confianza.
  • Sólo el 54% de las organizaciones programan regularmente la seguridad cibernética como un tema de la agenda de la junta.
  • Seis de cada diez organizaciones dicen que no pueden cuantificar la eficacia de sus gastos en seguridad cibernética a sus juntas directivas.

3. Los CISO se convierten en el agente de transformación

Con unas relaciones más sólidas a nivel empresarial y de junta directiva, una mejor comprensión de las necesidades comerciales de la organización y la capacidad de anticiparse a la evolución de la amenaza cibernética, las organizaciones de integración económica internacional pueden convertirse en un elemento central de la transformación de sus organizaciones.

Necesitarán una nueva mentalidad, así como nuevas habilidades en áreas como la comunicación, la negociación y la colaboración. Los CISO que se convertirán en poderosos agentes de cambio serán los que en lugar de decir "No" a las nuevas iniciativas digan "Sí, pero..."

La función de ciberseguridad vista como un obstáculo para la innovación

7%

de las organizaciones describirían la ciberseguridad como un elemento que permite la innovación; la mayoría elige términos como "impulsado por el cumplimiento" y "averso al riesgo".

  • Sólo el 7% de las organizaciones describiría la ciberseguridad como un elemento que permite la innovación; la mayoría elige términos como "impulsado por el cumplimiento" y "averso al riesgo".
  • Cerca de la mitad de las organizaciones (48%) dice que el principal impulsor de nuevos gastos es la reducción de riesgos, y el 29% cita los requisitos de cumplimiento. Sólo el 9% apunta a la habilitación de nuevas iniciativas empresariales.
  • Seis de cada diez organizaciones no cuentan con un jefe de seguridad cibernética que forme parte de la junta directiva o de la dirección ejecutiva.

Resumen de las recomendaciones de EY

Basándose en los hallazgos del GISS de este año, está claro que ahora hay una oportunidad real de posicionar la ciberseguridad en el centro de la transformación e innovación empresarial. Esto requerirá que las juntas, los equipos de dirección, los CISO y los líderes de todo el negocio trabajen juntos para..:

  1. Establecer la ciberseguridad como un valor clave para la transformación digital: llevar la ciberseguridad a la fase de planificación de cada nueva iniciativa. Aprovechar el enfoque de Security by Design para navegar por los riesgos en la transformación, el diseño de productos o servicios al inicio (en lugar de como una idea posterior).
  2. Construir relaciones de confianza con cada función de la organización: analizar los procesos comerciales clave con los equipos de seguridad cibernética para comprender cómo pueden verse afectados por los riesgos cibernéticos y cómo el equipo de seguridad cibernética puede ayudar a mejorar la función comercial a su alrededor.
  3. Poner en práctica estructuras de gobernanza que sean adecuadas para el propósito: elaborar un conjunto de indicadores clave de rendimiento e indicadores clave de riesgo que puedan utilizarse para comunicar un punto de vista centrado en el riesgo en los informes ejecutivos y de la junta.
  4. Concentrarse en el compromiso de la junta: comunicarse en un idioma que la junta pueda entender; considerar un programa de cuantificación de riesgos para comunicar más eficazmente los riesgos cibernéticos.
  5. Evaluar la eficacia de la función de seguridad cibernética para dotar a la CISO de nuevas competencias - determinar los puntos fuertes y débiles de la función de seguridad cibernética para comprender de qué debe estar dotada la CISO y cómo.
  • ¿Qué es Security by Design?

    Security by Design es un nuevo enfoque que incorpora la ciberseguridad a cualquier iniciativa desde el principio, en lugar de hacerlo a posteriori, permitiendo la innovación con confianza. Es un enfoque estratégico y pragmático que funciona en todas las partes de la organización. La seguridad por diseño se mantiene en el ciclo de vida de la iniciativa para ayudar a la gestión y mitigación continuas de los riesgos de seguridad.

Resumen

Las nuevas investigaciones de EY sugieren que fuera de la necesidad de cumplimiento, un abismo separa la ciberseguridad del negocio. Para salvar el abismo, los CISO deben demostrar su valor en un lenguaje que la junta y líderes ejecutivos puedan entender; y la empresa debe adoptar la seguridad cibernética desde el principio y durante todo el ciclo de vida de cada iniciativa.

Acerca de este artículo