¿Qué significa gestionar su ciberseguridad ?
Tradicionalmente, la gestión se ha definido como el despliegue de recursos humanos y materiales para alcanzar objetivos. Aunque la eficacia de la gestión es una preocupación central en la mayoría de los ámbitos empresariales, sigue sin abordarse suficientemente en ciberseguridad.
ciberseguridad sigue desconectada de los objetivos de la empresa
Como se desprende de la definición de gestión que acabamos de dar, es imposible pretender ser gestor, es decir, dirigir y controlar, sin tener claros los objetivos.
Sin embargo, las cifras del informe Forrester antes citado muestran que ciberseguridad se concibe y practica a menudo sin una dimensión estratégica. Titulado "The rise of security managers aligned with business objectives" y basado en las respuestas de 416 CISO de todo el mundo, el informe hace las siguientes observaciones.
- Sólo el 54% de los CISO afirman que sus estrategias de ciberseguridad están total o estrechamente alineadas con los objetivos de la empresa.
- Sólo el 47% de los responsables de seguridad tiene en cuenta las prioridades de la empresa a la hora de definir las prioridades desde el punto de vista de ciberseguridad.
- Menos del 50% de los CISO consideran el impacto de las amenazas en el contexto de un riesgo empresarial específico.
Pasar de una visión tecnológica a otra más global
¿Qué podemos observar en la forma en que se gestiona ciberseguridad dentro de las organizaciones? Los métodos varían de una entidad a otra, pero hay tres tendencias principales:
- gestión a través de la tecnología, lo que significa centrarse en las herramientas;
- gestión de la conformidad, basada en el cumplimiento de los requisitos reglamentarios o contractuales;
- gestión basada en el riesgo, prácticamente a medida y sólo apropiada para las empresas más maduras
De estos amplios enfoques, huelga decir que gestionar a través de la tecnología es simplemente... ¡no gestionar! Aunque la utilidad de muchas herramientas es innegable, la dificultad radica sobre todo en que, en tal situación, el nivel de seguridad de la empresa depende de los editores y de las últimas tendencias del mercado, cuando debería basarse más en un nivel de exigencia que debe fijarse en función de objetivos claramente definidos.
Por eso, gestionar su ciberseguridad implica tener una visión de 360º de las acciones que hay que emprender. En la práctica, esto significa abarcar todas las funciones principales de gestión, desde la definición de objetivos hasta la dirección, la organización del trabajo, la gestión de equipos y la toma de decisiones. Entre otras cosas, esto significa basarse en el marco de la Tecnología de Proceso de Personas que suele utilizarse para llevar a cabo cualquier cambio organizativo o implantar nuevos proyectos de SI.
La gestión de ciberseguridad empieza por la estrategia
Aunque las cifras sugieren que aún queda mucho camino por recorrer antes de que todos los CISO tengan responsabilidades directivas reales, como las tienen los CFO, HRD y otros ejecutivos, estamos asistiendo, no obstante, a la aparición de un discurso que tiende a situar la estrategia en el centro de ciberseguridad.
Este es el sentido, por ejemplo, de los comentarios de los colaboradores de la guía 2021 "L'essentiel de la sécurité numérique pour les dirigeants et les dirigeantes". Daniel Bénabou, Presidente del CEIDIG, explica que la seguridad ya no es una cuestión técnica, sino estratégica, y la considera "un asunto de alta dirección".
Guillaume Poupard, Director General de la ANSSI, insiste en la necesidad de que los responsables de la toma de decisiones y los CISO sean proactivos, afirmando que " ciberseguridad es 99% anticipación, prevención y sentido común".
Razones de peso para gestionar su ciberseguridad
¿Deben los CISO asumir un papel más directivo sólo porque los expertos recomiendan un enfoque ambicioso en ciberseguridad ? En realidad, las razones para emprender este camino son muy pragmáticas y ofrecen un retorno de la inversión rentable tanto para el CISO como para la empresa.
Respuesta fiable a las necesidades de seguridad
Como se habrá dado cuenta, gestionar es todo un proceso: primero se define una estrategia acorde con los objetivos de la empresa, se identifican los recursos necesarios para alcanzarla, se pone en marcha y luego se gestiona para garantizar que se cumplen los objetivos previamente definidos.
¿Qué mejor manera de garantizar una protección realmente eficaz para su empresa? La ventaja de este enfoque es que pone los recursos adecuados en el lugar adecuado, con el equilibrio adecuado de esfuerzos en función de las prioridades. Para la organización, limita la brecha que puede existir entre la "impresión de seguridad" y la realidad, como ya explicó Bruce Schneider en 2010 en su conferencia TEDx sobre el espejismo de la seguridad. También evita crear lo que él llama "un teatro de la seguridad", compuesto por productos que tranquilizan sin proteger realmente.
Anticiparse a los problemas
Sin visibilidad y sin estructurar su actividad, los CISO que no gestionan realmente su ciberseguridad sólo pueden sufrir, temiendo los ataques y haciendo lo que pueden cuando el riesgo se materializa.
Un CISO que tiene una visión clara de sus objetivos y de cómo alcanzarlos se encuentra en una situación completamente diferente. Ante el riesgo de un ataque de ransomware, por ejemplo, empezarán por cartografiar sus activos informáticos vulnerables y expuestos, que son todas las puertas de entrada al sistema de información.
Este enfoque metódico le permitirá limitar al máximo los riesgos, pero también co-construir soluciones con la dirección y las líneas de negocio para garantizar la continuidad de la actividad en caso de ataque (implantación de una solución de comunicación desacoplada del SI, plan de gestión de crisis, plan de recuperación informática, etc.).
Dar sentido y unir a las personas
Sin una visión compartida, existe un riesgo real de que los equipos (sobre todo los de SecOps) no vean el sentido de cumplir una serie de buenas prácticas. Aquí es precisamente donde puede ayudar la gestión ciberseguridad . Dado que implica compartir objetivos, explicar y entablar un diálogo, conduce a una mejor comprensión de los problemas por parte de todos los interesados y, a su vez, a un mayor apoyo y una mayor protección.
El desarrollo del liderazgo permite establecer un circuito de retroalimentación. Al sentirse más implicados en los asuntos de ciberseguridad, es más fácil que los equipos transmitan la información pertinente y apliquen las buenas prácticas.
Darnos los medios para hacer más
Es posible que piense que si quiere gestionar su ciberseguridad tal y como nosotros lo entendemos, necesita disponer de los recursos necesarios para hacerlo. En realidad, el presupuesto no es un problema, o al menos solo debería serlo al principio de una estrategia de ciberseguridad.
Gestionar ciberseguridad implica no sólo darnos los medios para ser visibles, sino también dar visibilidad a la alta dirección. En otras palabras, poner de relieve dos cosas:
- Por un lado, las vulnerabilidades y los riesgos asociados (pérdidas de explotación, daños a la imagen de la empresa, costes legales, etc.).
- Por otra parte, el CISO debe cumplir con su obligación de medios
En otras palabras, es abordando el tema de la seguridad de frente y en todas sus dimensiones como los CISO tienen la oportunidad de mantener conversaciones constructivas con la alta dirección y, en consecuencia, de obtener presupuestos, que luego deben poner a buen uso.