Alcanzar el consenso en torno a los ciberriesgos

Consejos para alcanzar el consenso en torno a los ciberriesgos: la opinión de un CISO

James Robinson, CISO, Netskope

Si echamos la vista atrás, el año 2024 ha sido muy convulso, con graves ataques que han afectado a empresas de todos los sectores. Según una investigación reciente realizada por Netskope, más de la mitad (57 %) de los CISO afirmaron que habían aumentado su tolerancia al peligro en el ámbito de la ciberseguridad al enfrentarse a estos ataques. No obstante, los CISO no creen que sus CEO comparten esta mayor confianza: un tercio de los CISO considera que estos tienen mucha más aversión al riesgo que ellos, y el 92 % de ellos cree que las diferentes opiniones sobre el riesgo están provocando tensiones con el resto de la dirección.

Esto pone de manifiesto la existencia de una necesidad evidente. Los CISO deben utilizar un lenguaje sencillo y claro para comunicarse, es decir, explicar con ejemplos las consecuencias para el negocio (por ejemplo, los ingresos, los resultados clave o el crecimiento de la empresa). De lo contrario, nunca podrán ganarse la confianza de sus homólogos en lo que respecta a la postura de seguridad de la organización y la forma en que esta contribuye a los objetivos empresariales, que permiten el crecimiento y la innovación. En resumen, una empresa con demasiada aversión al riesgo no tendrá la confianza necesaria para innovar o crecer, pero el CISO debe ser capaz de transmitir esta idea sin obsesionarse con comunicar acciones técnicas específicas.

Cómo sopesar el riesgo de la ciberseguridad

A diario, las empresas deben hacer frente a una serie de situaciones en las que deben encontrar el equilibrio entre innovación y fiabilidad, inversión o beneficios, velocidad o seguridad. Cada directivo contribuye a ponderar las decisiones sobre el riesgo y, tradicionalmente, se ha esperado que los CISO se situaran en uno de los lados de la balanza, ya que son los máximos responsables de la protección de los activos tecnológicos relacionados con el negocio. Sin embargo, este papel está cambiando.

Durante la última década, los CISO han ido adaptando sus funciones a medida que las empresas se digitalizaban y orientaban su actividad cada vez más al uso de datos. Ya no se limitan a funciones de apoyo de back office, sino que han dado un paso al frente para ocupar su lugar junto a sus colegas de la dirección en debates empresariales más profundos y en la toma de decisiones en materia de seguridad. La información que los CISO protegen se encuentra en el centro de los proyectos de innovación empresarial y, por lo tanto, tienen la llave para fomentar (o inhibir) dicha innovación.

Sin embargo, según nuestro estudio, dos de cada tres CISO (el 65 %) creen que otros directivos siguen sin ver que su papel contribuye a la innovación. Entonces, ¿cómo pueden los CISO tranquilizar a los CEO y a sus compañeros, respecto a los ciberriesgos y ayudar a la organización en general a considerarlos verdaderos facilitadores del negocio?

Incorporar la seguridad a todas las áreas de la empresa

Para que los CISO consigan que los CEO y el consejo en general se familiaricen con los ciberriesgos, deben dedicar el tiempo necesario a responder a sus dudas. Para ello, es fundamental que la dirección comprenda mejor el panorama de amenazas y su impacto en el negocio, que determine unos márgenes de tolerancia al riesgo consensuados y que describa las medidas que el CISO ha tomado para proteger lo que constituye el elemento vital de la empresa moderna: los datos.

Un problema común es la dificultad para demostrar de forma visible el importante papel que desempeña la ciberseguridad en la cuenta de resultados. Para lograrlo, los CISO deben reformular el problema y preguntar a sus colegas de la dirección de la empresa: «¿Cómo podemos obtener más ingresos si permitimos que los riesgos incontrolados obstaculicen el negocio?»

No se trata solo de la dirección y los ejecutivos: los CISO deben relacionarse de forma proactiva con todos los departamentos de la organización para comprender sus prioridades y objetivos empresariales e identificar cómo la seguridad puede ayudar a alcanzarlos. De esta forma, se puede pasar de la gestión del riesgo a apoyar la expansión de la empresa. Al crear vínculos en toda la empresa, los CISO pueden pasar de un papel totalmente defensivo, de «protector», a uno más progresivo, proactivo y habilitador.

Hay que generar confianza a través de la estrategia, no de la táctica

Al hablar con el CEO acerca de la postura de seguridad, con demasiada frecuencia, los CISO mantienen conversaciones tácticas en lugar de estratégicas. El 58 % de los directores de seguridad afirma que sus consejos de administración y equipos directivos preguntan por Zero Trust.

Pero, ¿qué es la confianza cero o Zero Trust? Se trata de un modelo de seguridad que se basa en la premisa de que no se puede confiar ciegamente en nadie ni permitirle el acceso a los activos de la empresa sin una validación constante y granular. Se trata de una tendencia muy popular que ha concienciado a los altos cargos no técnicos (probablemente como resultado de los comunicados de los gobiernos de EE. UU. y el Reino Unido en los que se ensalzan las ventajas y la importancia de este planteamiento).

Es positivo que los ejecutivos se interesen por la infraestructura de ciberseguridad de la organización y que la mayoría de los directores de seguridad de la información (el 55 %) crean que un enfoque de confianza cero les permitirá equilibrar mejor las prioridades en conflicto. Los CISO deben aprovechar y fomentar el interés de sus colegas por el modelo Zero Trust y utilizarlo como punto de partida para determinar las opciones disponibles y construir una estrategia de seguridad a largo plazo que responda a las necesidades de la empresa.

La paradoja de la confianza

Tanto el papel del CISO como este modelo de confianza cero se enfrentan a una contradicción intrínseca. Puede parecer paradójico afirmar que un CISO puede contribuir a aumentar la flexibilidad y la velocidad de una organización en general, cuando la percepción externa es que su labor se centra en imponer más controles.

La realidad es que los CISO pueden ayudar a sus homólogos de la dirección de la empresa a conseguir nuevos ingresos de forma más rápida y flexible, a impulsar la eficiencia y a cumplir los requisitos normativos, precisamente porque han garantizado la seguridad de la empresa. Los CISO que sepan comunicar a sus CEO cómo contribuyen a la expansión del negocio recibirán un mayor reconocimiento por su valiosa aportación y conseguirán que la actitud de los directivos hacia el riesgo cambie en general. En resumen, un CISO moderno y efectivo debería ser capaz de demostrar cómo gestiona las amenazas que afectan al activo más valioso de la organización: los datos, y de proporcionar a su CEO y a sus homólogos la oportunidad de asumir riesgos calculados e innovar.

En la última década, el papel del CISO ha cambiado significativamente. Cada vez más, se espera que desempeñen un papel de asesor y facilitador ante el CEO y el equipo directivo. En un entorno de tanta volatilidad como el actual, los CISO están adquiriendo una mayor confianza en sí mismos a medida que se consolidan como la voz de la razón que contribuye a tranquilizar a la dirección y a crear las condiciones necesarias para que la empresa prospere.

Alcanzar el consenso en torno a los ciberriesgos

Otras noticias de interés

Los perfiles tecnológicos cuya demanda más crecerá en el sector IT durante este año

Matizando la importancia de la autenticación multifactor en la ciberseguridad actual

Westcon-Comstor refuerza las demostraciones multiproveedor de ciberseguridad con integraciones de AWS

El Banco Mercantil de Brasil mejora su estrategia cloud con Atos y Google

Nombramientos

Shusuke Aoki

Gerald Beuchelt

Karen Gaines