Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo los CISOs escapan de la trampa del centro de costos

[24/11/2021] El número y la sofisticación crecientes de los ciberataques hacen que las empresas aumenten sus presupuestos de ciberseguridad -de nuevo- en el próximo año.

La encuesta Global Digital Trust Insights de PwC encontró que el 69% de las organizaciones esperan aumentar el gasto en ciberseguridad en el 2022; el 26% verá su presupuesto de seguridad incrementado en un 10% o más.

Incluso en esta época de ataques de alto perfil, cifras como ésta ayudan a perpetuar la idea de la ciberseguridad como un centro de costos. Eso, a su vez, puede dejar a los CISO en desacuerdo con sus colegas ejecutivos, y puede dejar a esos otros líderes ejecutivos frustrados y confundidos sobre el valor que realmente obtienen de sus inversiones en ciberseguridad.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

"Muchos líderes empresariales están ahora dispuestos a participar en la cibertransformación, pero encuentran el amplio uso de la jerga de seguridad y las vanas métricas, profundamente frustrantes. No tienen claro cuáles son las principales amenazas que se ciernen sobre sus empresas, la solidez de sus defensas actuales o la inversión necesaria. Sienten que están echando el dinero en un cubo agujereado, porque los equipos de ciberseguridad luchan por traducir el valor de sus iniciativas al lenguaje de la empresa: el dinero", afirma Phil Zongo, director general del Cyber Leadership Institute, una organización de formación, y miembro del Grupo de Trabajo de Tendencias Emergentes de la asociación profesional ISACA.

Sin embargo, los principales CISOs han dado la vuelta a esa reputación, incluso cuando sus propios presupuestos de seguridad aumentan. ¿Cómo lo han conseguido? Demostrando que la seguridad no solo es fundamental para el éxito de la empresa, sino que es un facilitador y una ventaja competitiva tanto como la infraestructura digital y los activos de datos que protege.

No hay una sola manera de disipar la noción de la seguridad como un costo puramente necesario, pero los expertos con los que hablamos identificaron cinco estrategias que pueden ayudar a los CISOs a conseguir que otros vean la seguridad como un centro de valor.

Considere el impacto de sus mensajes en la forma en que se le percibe

En una vuelta de tuerca a la máxima empresarial "No se puede gestionar lo que no se mide", Ahmed Jamil, líder de la práctica de CISO en Russell Reynolds Associates, defiende la idea de que no se puede mejorar lo que no se conoce y entiende.

"A veces el primer paso es el reconocimiento", explica. "Tiene que tener una apreciación de cómo la C-suite y la junta directiva están pensando en usted".

Es un paso que requiere cierta reflexión para determinar si, como CISO, le ven como un socio ejecutivo de pleno derecho que trabaja para dar forma a la política y la estrategia, o si la seguridad sigue siendo una idea tardía y un perno para aquellos.

"Piense en la función. ¿Es reactiva o proactiva? ¿Cómo se sitúa en la organización?, señala Jamil. "Los CISOs pueden quedarse atascados en: 'Esto es todo lo que estamos haciendo para mantener la organización segura en el panorama actual'. Y mostrarán métricas [respecto a ese esfuerzo] a la junta directiva, pero no muestran lo que viene. Pero los CISOs necesitan poner en términos de negocio cómo están mirando a la vuelta de la esquina, cómo están siendo más proactivos para mostrar que la seguridad es un centro de innovación tanto como, por ejemplo, la analítica digital".

Cultivar aliados en la empresa

Zongo aboga por que los CISOs "se centren implacablemente en el compromiso de las partes interesadas".

Como explica: "Ningún programa de transformación importante tiene éxito sin el apoyo de los ejecutivos, y la ciberseguridad no es diferente. Hay que involucrar a las partes interesadas de los departamentos clave desde el principio, e infundir sus puntos de vista en la estrategia. Cuando los ejecutivos clave se sientan comprometidos desde el principio, es probable que apoyen plenamente el programa de cibertransformación".

Para ello, Zongo anota que los CISOs deben establecer un comité de riesgo cibernético interfuncional compuesto por las partes interesadas de alto nivel de riesgo empresarial, legal, tecnología, desarrollo de productos, compras y finanzas. "El comité de riesgos cibernéticos establece el tono adecuado en la cima, ratifica la estrategia de ciberseguridad y garantiza que la función esté totalmente financiada y bien apoyada", añade.

Sin embargo, algunos CISOs se enfrentarán a desafíos en su capacidad para involucrar plenamente a la empresa.

Muchos CISOs siguen alineados con los objetivos del CIO y la hoja de ruta de TI. Éstos se alinean (o al menos deberían hacerlo) con la estrategia global de la empresa. Aun así, esa estructura de informes priva a la seguridad de un acceso directo a la empresa y, en consecuencia, a los líderes de la función empresarial.

Las estadísticas sobre las estructuras de información de la organización hablan de este punto. La Encuesta Global de Directores de Seguridad de la Información 2021 de la empresa de búsqueda de ejecutivos Heidrick & Struggles descubrió que el 38% de los CISOs dependen de los CIOs, mientras que sólo el 11% dependen directamente del director general.

Pam Nigro, vicepresidenta de TI y responsable de seguridad de Home Access Health Corporation, afirma que cuando los CISOs "trazan una línea más recta con los objetivos de la organización, tienen una mayor aceptación de lo que intentan hacer, y pueden obtener más apoyo para ello". Si una empresa estadounidense quiere expandirse a los mercados europeos, por ejemplo, el CISO debe entender y articular cómo la función de seguridad permitirá esos objetivos empresariales cumpliendo con las regulaciones de privacidad y los requisitos de seguridad europeos; el CISO no debería detallar cómo asegurar la infraestructura tecnológica.

Acentuar lo positivo

La serie de incidentes cibernéticos de gran repercusión y perfil de los últimos años ha hecho que la ciberseguridad sea una prioridad para los consejos de administración. Los consejos de administración también están prestando más atención a la seguridad, a medida que aumentan las regulaciones relacionadas y las expectativas de los consumidores en este ámbito.

La encuesta de los consejos de administración de JWC Partners del 2021 reveló que la seguridad es la tercera preocupación de los consejos de administración, justo después de la estrategia corporativa y la sucesión de los directores generales. Sin embargo, al mismo tiempo, muchos miembros de los consejos de administración no están especialmente seguros de su conocimiento del tema.

Según la Encuesta Anual de Directores Corporativos 2021 de PwC, solo el 33% de los directores que respondieron dijeron que entendían "muy bien" las vulnerabilidades de ciberseguridad de su empresa, el 53% dijo que solo entendían "algunas" vulnerabilidades, y el 13% calificó su comprensión como "no muy bien". (Un mero 1% reconoció que no tenía ningún conocimiento).

Sin embargo, el mayor interés de la junta directiva en la ciberseguridad presenta una oportunidad para los CISOs, sostiene Zongo.

"Para muchos CISOs ha sido un camino doloroso llegar a este punto, [ya que los CISOs] siempre han sentido que sus mensajes caían en oídos sordos, sus presupuestos estaban severamente infrafinanciados y eran tratados como administradores de sistemas glorificados. Ahora, los consejos de administración y los responsables están empezando a tomarse en serio el ciberriesgo", afirma Zongo.

Pero él y otros aconsejan a los CISOs que no se centren solo en lo que puede salir mal: El alarmismo, dicen, refuerza la vieja noción de que la función de seguridad es un costo similar al de los seguros.

"Los CISOs deberían dejar de lado las tácticas anticuadas de utilizar el miedo, la incertidumbre y la duda y, en su lugar, transmitir un mensaje optimista y edificante sobre el impacto que la ciberseguridad puede tener en la empresa y, más ampliamente, en los clientes y las partes interesadas fundamentales de la organización", afirma Chris Hughes, cofundador y CISO de la empresa de software Aquia, así como profesor adjunto de ciberseguridad en la Capitol Technology University y en la University of Maryland Global Campus.

"Los incidentes de ciberseguridad pueden tener ramificaciones negativas que van desde el daño financiero, regulatorio y de reputación", añade Hughes. "Aunque es clave tener esto en cuenta y recordárselo a los compañeros de la empresa, también tiene una connotación negativa asociada. En su lugar, cambie el mensaje para centrarse en permitir que la empresa funcione de forma segura, maximizando el valor para los clientes y las partes interesadas, garantizando su confianza y lealtad, e incluso utilizando una postura de ciberseguridad fuerte para ser un diferenciador clave en el mercado entre sus compañeros. Demuestre cómo evitar los incidentes de ciberseguridad puede contribuir al crecimiento del negocio".

Cuantifique el valor que aporta la seguridad

Los jefes de seguridad que se han liberado de la reputación de la seguridad como un centro de costos, muestran el valor que aportan al negocio, anota Fred Rica, director de la práctica de Servicios de Asesoramiento de KPMG y líder nacional de ciberriesgos e inteligencia de amenazas de la firma.

"Los CISOs que se ganan el puesto en la C-suite hablan de la habilitación del negocio, hablan de lo que van a permitir que ocurra", señala.

Rica sitúa la seguridad como los frenos que permiten a las empresas moverse con seguridad, en lugar de ser la palanca de emergencia que frena -o apaga- todo.

"Puede conducir su auto sin frenos, pero no estoy seguro de que sea un auto que quiera conducir", anota.

Por ello, señala que los CISOs deberían hacer hincapié en cómo la seguridad permite a los clientes interactuar con la empresa de forma rápida y sin problemas sabiendo, en caso de que surja algo, que los frenos los mantendrán a salvo.

"Los CISOs, al hacer esto, están permitiendo al negocio", añade. "Y los mejores saben cómo articular y cuantificar esto".

Nigro, que también es vicepresidente de la junta directiva de ISACA, reconoce que calcular el valor de la seguridad en dólares reales es un reto para los CISO. Sin embargo, insiste en que se puede -y se debe- hacer.

"Cuantifique lo que ocurre, no solo lo que le cuesta, eso es lo que la gente ya ve", anota.

Nigro recomienda el libro de Douglas W. Hubbard "How to Measure Anything: Finding the Value of Intangibles in Business. Y también aconseja a los CISO que se asocien con sus colegas de finanzas para desarrollar las habilidades necesarias para la tarea; ella misma se apoyó en un colega que era actuario para aprender a cuantificar las contribuciones de su función de seguridad.

Nigro trabajaba para una compañía de seguros que pretendía ofrecer seguros en un intercambio de la Ley de Asistencia Asequible; calculó el costo de proporcionar la seguridad necesaria para participar, así como los ingresos que se perderían durante el año siguiente, si su compañía no tenía la seguridad necesaria en el plazo de participación. Esto le permitió presentar en términos financieros cómo el precio de la seguridad se veía empequeñecido por los ingresos potenciales que suponía la participación en el programa.

Hacer de la seguridad un diferenciador

Los CISOs que reúnen todas estas estrategias son capaces de posicionar la seguridad de su organización como un diferenciador competitivo que no solo apoya la agilidad de la empresa, sino que es realmente esencial para la capacidad de la empresa de responder rápidamente, señala James Stanger, evangelista jefe de tecnología en CompTIA, una asociación comercial de formación y certificación.

"Ahora el CISO es la persona que se trae para construir los cimientos del éxito de una organización", anota. "El CISO es más estratégico. La idea tradicional era que el CISO evitaba que la empresa fuera hackeada. Ahora el CISO es un facilitador de la expansión del negocio".

Los CISOs hoy en día deben moldear positivamente cómo ellos y el equipo de seguridad son percibidos por otros dentro de la organización. Deben colaborar con los líderes de las funciones empresariales. También deben ser capaces de evaluar y articular el riesgo, y utilizarlo para valorar la contribución de la seguridad.

"Los CISO que veo son buenos comunicando que la seguridad es literalmente la base del funcionamiento del negocio", señala Stanger. "Saben mostrar que es un centro de oportunidades".

Puede ver también:

Casos de éxito

Más »