¿Cómo pasar de una seguridad aislada a una integrada?

Según los resultados de la Encuesta Global de Seguridad de la Información 2019-20 de EY, los CISOs que persiguen e impulsan una cultura de Security by Design desempeñan un rol crucial como facilitadores de la transformación.

Presentamos los resultados y principales hallazgos de la última Encuesta de Seguridad de la Información de EY. Este año ante las crecientes amenazas cibernéticas, muchas organizaciones se desenfocan y pierden una gran oportunidad para obtener una ventaja competitiva al poner la ciberseguridad y la privacidad en el centro de su estrategia.

Para hacer el cambio a una cultura de Security by Design, los CISOs deben conectar con todas las áreas del negocio y conocer las realidades comerciales que enfrentan sus organizaciones en un mercado disruptivo. Y el resto del negocio, desde el Directoria hasta los colaboradores en general, debe garantizar que la ciberseguridad tenga un lugar importante en la mesa de liderazgo.

El cambio es una responsabilidad compartida: los CISOs pueden, y deben, comprometerse de manera más colaborativa con el resto del negocio, mientras que los Directorios, los C-suites y otras funciones comerciales deben comprometerse a una relación de trabajo más estrecha con sus colegas de ciberseguridad. Solo así los equipos de ciberseguridad pueden desempeñar un papel crucial como facilitadores de la transformación.

En la Encuesta Global de Seguridad de la Información EY de este año 2020, observamos el rol evolutivo de la función de ciberseguridad desde tres perspectivas:

1. Un fallo sistemático de comunicación en la organización

El aumento de atacantes activistas (los cuales son la segunda fuente más común de violaciones graves o significativas según este informe) destaca la forma cómo la función de ciberseguridad necesita ser entendida en todos los niveles gerenciales de la empresa. No se puede gerenciar lo que no se conoce. El desden por la seguridad de información de algunas gerencias motiva conductas en los colaboradores que propician el incremento de riesgos de ciberseguridad. Aquellos CISOs que no mantengan comunicación fluida para la coordinación de actividades conjuntas de prevención y mitigación de riesgos de ciberseguridad, no podrán cumplir con su labor. Pero la comunicación es en ambos sentidos, en consecuencia, las áreas de la organización deben también propiciar esta comunicación y trabajar conjuntamente en la prevención y respuesta de riesgos de ciberseguridad en el diseño de productos y en la operación diaria.

Hallazgos de la Encuesta Global de Riesgos del Directorio de EY mostraron la disrupción tecnológica como la mayor oportunidad estratégica para las organizaciones. El hecho de que muchas organizaciones estén aprovechando esta oportunidad para innovar y propiciar una transformación tecnológica, no puede ignorar los riesgos a la ciberseguridad asociados a esta disrupción y nuevas tecnologías. La cultura de Security by Design supone que todas las iniciativas comerciales y operativas consideren factores de riesgo de ciberseguridad los cuales puedan ser analizados por el CISO y entendidos por el Directorio y el C-Suite en la empresa.

Incluye al área de ciberseguridad desde la etapa de planificación en sus nuevas iniciativas empresariales.

• La amenaza cibernética y de privacidad está aumentando y expandiéndose. Aproximadamente 6 de cada 10 organizaciones (59%) se han enfrentado a un incidente material o significativo en los últimos 12 meses a nivel global, en Perú la cifra asciende a 70%.
• El gasto en ciberseguridad está impulsado por prioridades defensivas en lugar de innovación y transformación: el 77% del gasto en nuevas iniciativas se centró en el riesgo o el cumplimiento en lugar de la oportunidad a nivel global.
• Uno de cada cinco encuestados gasta el 5% o menos de su presupuesto de seguridad cibernética para apoyar nuevas iniciativas a nivel mundial.

2. Crear y mantener relaciones que aumenten la confianza y la colaboración

Security by Design es un mandato que nace en el Directorio, se atiende en todas las Gerencias y se nutre del trabajo del CISO. La concienciación de todos es constante para entender las amenazas a la ciberseguridad y su evolución en el tiempo. Security by Design implica proteger la empresa, proteger los clientes y protegerse con terceros. Desarrollar iniciativas diferentes sin considerar los riesgos de seguridad de información, seguridad informática, o ciberseguridad es atentar contra la estabilidad del negocio.

Para crear y mantener relaciones de confianza con el Directorio y el C-Suite, el CISO debe entender el negocio y los riesgos de ciberseguridad que lo afectan, de manera de tener conversaciones en lenguaje de riesgos de negocio. El CISO debe demostrar conocimiento y capacidad de gestión. El Directorio y el C-Suite deben propiciar ambos la creación y mantenimiento de relaciones con el CISO. Esto es necesario para la sostenibilidad del negocio.

Dice que la relación entre la ciberseguridad y las líneas de negocios es inexistente o neutral.

• Alrededor de la mitad de los encuestados (48%) afirma que el Directorio aún no comprende completamente el riesgo de ciberseguridad; mientras tanto, el 43% dice que la junta no comprende completamente el valor y las necesidades del equipo de ciberseguridad a nivel mundial.
• Solo el 54% de las organizaciones a nivel mundial programan regularmente la ciberseguridad como un tema de la agenda del Directorio, en el Perú la cifra es de 40%
• El 75% de las organizaciones dicen que no son capaces de cuantificar en términos financieros, la efectividad de gastos en ciberseguridad a nivel mundial y 83% en el Perú.

3. El CISO como agente de transformación

A través de relaciones más sólidas a nivel empresarial, un mejor entendimiento de las obligaciones comerciales de la organización y la habilidad de anticipar las amenazas cibernéticas en constante evolución, los CISO pueden convertirse en un factor central para la transformación de sus organizaciones.

Deberán tener una nueva mentalidad y nuevas habilidades en áreas como comunicación, negociación y colaboración. Aquellos CISO que se conviertan en poderosos agentes del cambio serán aquellos que, en lugar de decir “no” a las nuevas iniciativas, dirán “sí, pero...”.

Contando con el apoyo del Directorio y del C-Suite, los CISOs deben orquestar en la organización junto con todas las áreas funcionales acciones concretas que van desde la concienciación, la coordinación, la colaboración, hasta el análisis y síntesis de situaciones diversas con recomendaciones fundamentadas en conocimiento, en análisis operativo, estadístico y financiero. Se convierte en alguien que inspira confianza porque sabe y tiene respuestas a las preguntas difíciles, organiza y dirige, delega y controla.

Describe al área de cibersegurdad como un habilitador de innovación.

No cuenta con un responsable de ciberseguridad que reporte al Directorio

• Solo el 7% de las organizaciones describirían la ciberseguridad como una innovación habilitadora; la mayoría elige términos como "impulsado por el cumplimiento" y "aversión al riesgo" a nivel global.
• Aproximadamente la mitad de las organizaciones (48%) dice que el principal impulsor del nuevo presupuesto es la reducción de riesgos, y el 29% cita requisitos de cumplimiento. Solo el 9% apunta a la habilitación de nuevas iniciativas empresariales a nivel mundial. En el Perú, la mayoría lo destina a temas de cumplimiento (38%) o reducción de riesgos (25%), solo un 4% lo destina al uso de nuevas iniciativas.
• Seis de cada diez organizaciones no tienen un jefe de seguridad cibernética que se siente en el Directorio o en el nivel de gestión ejecutiva. En el Perú sucede casi en la misma medida: en el 59% de las organizaciones.

Algunas recomendaciones

Según los hallazgos de esta encuesta, está claro que actualmente existe una oportunidad real para colocar la ciberseguridad en el centro de la innovación y transformación empresarial. No obstante, esto requerirá que los Directorios, los equipos de alta gerencia, los CISOs y los líderes de las empresas trabajen juntos para:

1. Establecer la ciberseguridad como un habilitador de valor clave en la transformación digital

Incorporar la ciberseguridad en la etapa de planificación de todas las nuevas iniciativas. Aprovechar el enfoque de Security by Design para navegar por los riesgos en la transformación, el diseño de productos o servicios desde el comienzo.

2. Construir relaciones de confianza con todas las áreas de la organización

Analizar los procesos de negocios clave junto con los equipos de ciberseguridad para entender cómo los riesgos cibernéticos los afectarían y cómo puede el equipo de ciberseguridad ayudar a mejorar la función de negocios que los rodea.

3. Implementar estructuras de gobierno que se ajusten al objetivo

Desarrollar un conjunto de indicadores clave de desempeño y de riesgo que puedan utilizarse para comunicar una perspectiva enfocada en riesgos en los informes ejecutivos y del Directorio.

4. Enfoque en la participación del Directorio

Comunicar de forma sencilla para que el Directorio pueda entender; considerar algún programa de medición de riesgos para comunicar de forma más efectiva aquellos aspectos relacionados con la ciberseguridad.

5. Evaluar la efectividad de la función de ciberseguridad para capacitar a los CISO con nuevas competencias

Determinar las fortalezas y debilidades de la función de ciberseguridad con el fin de entender lo que los CISO necesitan y la forma de hacerlo.