De la defensa a la ofensa: dar a los CISO lo que les corresponde



En la period de disrupción sin precedentes de hoy, los CISO con visión de futuro pueden convertirse en la clave para la transformación de la empresa, pero esto significa restablecer las relaciones con la junta y el C-suite.

Después de sondear a casi 1.300 organizaciones, EY descubrió que solo el 36% de las organizaciones tienen en cuenta la ciberseguridad al planificar nuevas empresas. En su «Encuesta mundial sobre seguridad de la información 2020, «la firma informa que el aumento en los ataques de activistas, que el informe considera como la segunda fuente más común de violaciones importantes o materiales, ilustra por qué la ciberseguridad debe ser parte de todos los aspectos del negocio. CISO que no La interacción con los líderes senior de la empresa probablemente se verá eclipsada, lo que podría resultar en el lanzamiento de nuevos productos o servicios que son vulnerables a las amenazas cibernéticas.

Desafortunadamente, los CISO aún no están allí y el ciberdelito aumenta día a día. Según EY, seis de cada 10 organizaciones han superado un incidente cibernético significativo en los últimos 12 meses, y el 48% de las juntas sospecha que los ataques cibernéticos y las violaciones de datos afectarán su negocio el próximo año. Aproximadamente el 21% de los ataques se atribuyeron a «hacktivistas», activistas políticos y sociales conocedores de la tecnología, que son superados solo por el crimen organizado (23%).

Los tableros siguen funcionando en la oscuridad
La mayoría de las juntas comprenden que deben prestar más atención a la ciberseguridad. Este hecho fue subrayado en el informe de EY, que indica que el 72% de las juntas ve el riesgo cibernético como «significativo». Además, los directores ejecutivos esperan que los ciberataques corporativos generalizados representen la mayor amenaza para la economía global durante la próxima década.

Pero aunque las juntas reconocen que existe el riesgo cibernético, casi la mitad (52%) de los encuestados dice que su junta está completamente al tanto de la naturaleza de esos riesgos. Además, el 43% dice que su directorio no aprecia completamente el valor y las necesidades del equipo de ciberseguridad. Esto no debería asustar a nadie porque en el 60% de las organizaciones el jefe de ciberseguridad no tiene un rol oficial en la junta o la dirección ejecutiva, y solo el 54% de las organizaciones hace de la ciberseguridad un tema normal en la agenda de la junta. Solo el 32% de los líderes de seguridad discuten cuestiones estratégicas e impulsan el cambio con la junta.

Este escenario debe cambiar, pero ¿cómo? Un buen comienzo sería que los CISO reconsideren la forma en que se comunican con sus juntas. Por ejemplo, en el informe de EY, solo una cuarta parte de los encuestados podría poner una cifra en dólares sobre el valor de su gasto en ciberseguridad para abordar los riesgos comerciales críticos.

La ciberseguridad sigue siendo una ocurrencia tardía
Debido a que los activistas están librando ciberataques y la transformación digital ahora impulsa la agenda empresarial, el departamento de ciberseguridad no puede continuar desempeñando su tradicional papel reactivo. Tiene que estar a la ofensiva.

Como se mencionó anteriormente, solo el 36% de los encuestados de EY dicen que su equipo de ciberseguridad participa en la planificación de nuevas iniciativas comerciales. En cambio, el equipo de seguridad debe ser un miembro integral del equipo de planificación de productos en lugar de ser convocado más tarde. EY llama a esto «Seguridad por diseño», donde la ciberseguridad es una consideración central desde el inicio de cualquier proyecto nuevo. Si la protección de seguridad se trata continuamente como una modificación del producto, el resultado será soluciones costosas, menos que perfectas e implementaciones torpes. Hoy en día, cuando casi todas las organizaciones están revisando sus productos, servicios, procesos operativos y estructuras organizativas para alinearse con las realidades del negocio electronic, tratar las ciberamenazas como una ocurrencia tardía durante el desarrollo de productos no es nada importante.

Dicho esto, las organizaciones tienen un largo camino por recorrer. El informe de EY muestra que están gastando en negocios como de costumbre, no en nuevas iniciativas. De hecho, alrededor del 17% de las organizaciones gastan el 5% o menos de su presupuesto de ciberseguridad en nuevas iniciativas El 44% gasta menos del 15%. Y aunque la inteligencia synthetic, que actualmente es la mejor forma de combatir los ciberataques, desempeña un papel más importante en la toma de decisiones organizativas, las operaciones y las comunicaciones con los clientes, solo el 5% cita un mayor enfoque en la inteligencia artificial.

Agentes de transformación
Los CISO se encuentran ahora en una posición en la que deben, de alguna manera, reinventar cómo funcionan y cómo son percibidos dentro de sus organizaciones. Históricamente, han sido la primera línea de defensa contra los ataques cibernéticos de la empresa, y han sido vistos como tales. Pero este estado de cosas debe evolucionar.

«Los CISO no pueden permitirse ser vistos como bloqueadores de la innovación deben ser solucionadores de problemas», dice Kris Lovejoy, Líder de Ciberseguridad de Asesoramiento Worldwide de EY, en Informe de EY. «La forma en que hemos organizado la ciberseguridad es como una función retrospectiva, cuando es capaz de ser una función prospectiva y de valor agregado. Cuando la ciberseguridad habla el lenguaje de los negocios, toma ese primer paso crítico de escuchar y Comienza a demostrar valor porque puede vincular directamente los impulsores del negocio con lo que la ciberseguridad está haciendo para habilitarlos, justificando su gasto y efectividad «.

Pero, ¿tienen los CISO actuales las habilidades y la experiencia adecuadas para trabajar de esta nueva forma y desempeñar un papel más proactivo y con visión de futuro? Esa es una pregunta abierta, y la respuesta probablemente demandará una nueva generación de CISO cuyo trabajo no esté impulsado principalmente por la reducción de amenazas y el cumplimiento. Además de las habilidades técnicas, el nuevo CISO necesitará conocimientos comerciales, sólidas habilidades de comunicación y la capacidad de trabajar en colaboración.

Cumplir con esta nueva descripción de trabajo requerirá que el líder en ciberseguridad se adapte a los nuevos modos de trabajo. Será perturbador a corto plazo, pero vale la pena. Es una oportunidad para que la ciberseguridad se convierta en un socio comercial esencial en el núcleo de la cadena de valor de la organización, uno que lidere la transformación y demuestre continuamente su valor.

Marc Wilczek es un columnista y líder intelectual reconocido, orientado a ayudar a las organizaciones a impulsar su agenda electronic y lograr mayores niveles de innovación y productividad a través de la tecnología. Durante los últimos 20 años, ha ocupado varios puestos de liderazgo sénior en … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic