Los ejecutivos de seguridad empresarial de hoy enfrentan situaciones que realmente podrían dañar los resultados de la empresa. Los equipos de seguridad intentan modernizar las operaciones de seguridad en un entorno de purple cada vez más poroso con amenazas cada vez más sofisticadas. También hay presiones económicas por despidos, recortes presupuestarios y reestructuraciones.
Peor aún, los CFO han escuchado de los CISO las predicciones pesimistas del potencial desastre fiscal de las violaciones de datos con tanta frecuencia que ya no resuena con ellos.
El escenario de Doomer no es hipotético: los requisitos de cumplimiento world-wide y las regulaciones de privacidad aumentan el costo de una violación incluso más que los costos técnicos. Sin embargo, los CFO y otros ejecutivos de nivel C han escuchado estas advertencias con tanta frecuencia que ahora es solo información de fondo que no impulsa su toma de decisiones.
¿Existe una forma más efectiva de ayudar al director financiero a comprender por qué la seguridad debe estar mucho mejor financiada? Sí: Presente al CFO un escenario de riesgo compartido.
Establecimiento de prioridades de protección
Allan Alford, quien fue CISO en varias industrias, incluidas la tecnología, las comunicaciones y los servicios comerciales antes de convertirse en consultor de CISO, dice que los CISO deben usar un enfoque diferente para describir los problemas de seguridad cibernética al CFO. Deben comenzar pidiéndole al CFO que identifique los seis elementos estratégicos más importantes del negocio, que posiblemente incluyan la cadena de suministro, las operaciones de fabricación, los planes de productos futuros sensibles, and so forth., y luego detallar sus planes para proteger cada una de esas áreas críticas, dice Alford. .
El CISO puede presentar la situación al CFO de la siguiente manera: «Gracias por compartir esas prioridades. Ahora, usted dice que necesitamos recortar el presupuesto de seguridad en un 37%. Dado el estado de la economía en nuestros sectores, eso es completamente comprensible. Para hacer posibles los recortes, ¿puede decirme cuál de estas seis áreas debería dejar de proteger? También tendremos que traer al ejecutivo de línea de negocios para que pueda explicar cómo estos cambios afectarán esa área».
Históricamente, los CISO, CSO, CRO y otros ejecutivos adyacentes a la seguridad han sido buenos soldados, aceptando los recortes ordenados por el CFO y decidiendo dónde se deben realizar los cambios, dice Alford. Esto entra en conflicto con el trabajo del CISO: proteger la empresa, incluida toda la propiedad intelectual y todos los activos.
Si el CFO make a decision recortar los fondos de seguridad, debe trabajar con el COO, el CEO, la junta y otros altos ejecutivos para decidir qué operaciones pueden permitirse no proteger. No se debe dejar que el CISO haga esas llamadas o defienda las opciones.
Para ser justos, la decisión rara vez es en blanco y negro. Pero si el CISO posiciona las decisiones presupuestarias de esta manera, el CFO verá el impacto comercial actual que tendrían las reducciones. Cuando el CFO se ve obligado a decidir dónde se realizarán los recortes y elegir qué división de máxima prioridad queda indefensa, la conversación cambia, dice Alford. El CISO puede decirle al CFO: «Averiguaremos juntos qué riesgos son tolerables, pero no se equivoquen: un recorte del 37 % pondrá a varias unidades en riesgo extremo. ¿Puede la empresa permitirse un recorte tan profundo en nuestras defensas?».
El CISO puede presentar alternativas rentables para reducir las defensas de seguridad, en lugar de eliminarlas por completo. Ahora existe la posibilidad de negociar un recorte presupuestario menor. Tal vez ese recorte del 37% se convierta en un recorte del 23%.
Negociar en grupo
La conversación no debe comenzar y terminar con el director financiero, dice Daniel Wallance, socio asociado de McKinsey. Debe involucrar al comité de riesgos de la junta, al director ejecutivo, al director de operaciones y a otros colegas que tienen un papel en el gasto de seguridad, como el CIO y el CRO.
«También hay gastos provenientes de la gestión de riesgos [and] Cumplimiento por encima de TI. Me ocuparía de esas funciones, ya que han compartido [security] responsabilidad y en realidad pueden tener recursos dedicados», dice Wallance. «Necesito esto para no ser una conversación de uno a uno. Quiero que sea un grupo».
Estas conversaciones con otros ejecutivos de seguridad deben tener lugar antes y después de la reunión del CFO, pero no durante.
El CISO debe reunirse con los otros actores de seguridad antes de reunirse con el CFO para saber qué superposiciones y redundancias existen actualmente. El CISO también necesita saber cuánta flexibilidad presupuestaria están dispuestos a ofrecer esos otros ejecutivos. Esa será información essential para tener mientras se trabaja con el CFO. Después de reunirse con el CFO, el CISO puede volver con los otros ejecutivos y ver qué pueden negociar como grupo.
La reunión actual de CISO-CFO debe ser solo para los dos ejecutivos, para evitar que el CFO se sienta atacado. La discusión debe ser lo más amistosa posible para permitir compromisos razonables.
Involucrar al comité de riesgos de la junta es basic, ya que, en última instancia, la función de la junta, en colaboración con el director ejecutivo, es dictar la tolerancia al riesgo de la empresa. Si las reducciones presupuestarias solicitadas por el CFO entran en conflicto con esa tolerancia al riesgo, la junta debe saberlo.
«El CISO debería reunirse con el comité de riesgos regularmente», dice Wallance. «Es posible que la empresa no comprenda las implicaciones del recorte presupuestario. El director financiero no es la única persona en cuestión aquí».
Adaptarse a las condiciones del mercado
Las tendencias más grandes en la economía también afectan las necesidades presupuestarias de los CISO.
Existe una amenaza existencial realista para los seguros cibernéticos, la crimson en la que los CFO han confiado durante más de 20 años. Lloyds of London dijo que dejaría de cubrir las pérdidas de los ataques de actores estatales, lo cual es problemático dado cómo difícil es probar el origen de un ataque y quién lo financió. gigante de los seguros Zúrich advirtió podría abandonar por completo el seguro cibernético. Y un Decisión de la Corte Suprema de Ohio planteó la perspectiva de otras limitaciones del seguro cibernético. Esos cambios podrían aumentar considerablemente la presión sobre el CFO para que financie mejor la seguridad, dado que la empresa ahora tendrá que pagar el monto whole de los daños.
Un component que complica la situación es la tan cacareada escasez de talento en ciberseguridad. Si la brecha es tan grande como algunos dicen, es cierto que el costo del talento hoy en día es más alto de lo que permite la mayoría de los presupuestos. Entonces, sí, tendrá dificultades para encontrar personas calificadas, pero aumente el salario lo suficiente y, puf, no más escasez de talento.
Richard Haag, vicepresidente de servicios de cumplimiento de la consultora Intersec Throughout the world Inc., sostuvo que la dificultad de adquirir talento con suficiente experiencia es un argumento poderoso en esas discusiones de CFO.
«[I]En seguridad, la mano de obra es lo único que posiblemente se puede recortar. No puedes simplemente cambiar los cortafuegos. Estos acuerdos están cerrados», dice Haag. «Tienes que decir: ‘Apenas puedo proteger tus principales áreas estratégicas ahora. Con los recortes que desea, simplemente no podré defender sus principales objetivos y, desde luego, tampoco sus objetivos no tan importantes. Necesito más gente, ciertamente no menos gente'».
Alford también sugiere que el CISO señale cómo negocian costos de proveedores más bajos. Documéntelo y compártalo con el CFO para demostrar que el presupuesto se está gastando sabiamente.
«Demuestre sus eficiencias al reducir los descuentos de los proveedores tanto como pueda. Los directores financieros quieren saber que el dinero se está gastando bien, y ‘tenemos un gran trato’ lo hace bien», dice Alford.
Finalmente, el CISO también puede defender una mejor seguridad que genere más ingresos. ¿Una mayor inversión en seguridad hace que los clientes potenciales se sientan más cómodos? ¿La falta de seguridad está haciendo que algunos clientes existentes se vayan? Por ejemplo, si una institución financiera elige reembolsar a los clientes en todas las situaciones de fraude, en lugar de lo que hacen la mayoría de las IF, que es reembolsar solo en algunas situaciones, podría presumir de que sus clientes están mejor protegidos contra el fraude, lo que los incitaría a dejar a los competidores. Ese movimiento justificaría un mayor gasto en seguridad cibernética debido a la mayor aceptación de los costos de fraude.
«Si puede acortar ese ciclo de ventas y demostrar que la seguridad ganó más ventas, puede ser muy persuasivo para los CFO: ‘Hoy, tres clientes se fueron, pero mañana ninguno'», dice Alford.
