La estrategia de seguridad postcovid
Los ejecutivos y los miembros del consejo de administración se centran más en la ciberseguridad cuando hay un peligro inmediato. A continuación vemos como los Ciso son capaces de utilizar una crisis como la de SolarWinds para convertir la seguridad en estrategia empresarial.
El Ciso Bill Brown sabe que las brechas de ciberseguridad de alto perfil, como la de SolarWinds, pueden hacer saltar las alarmas entre los ejecutivos y los miembros del consejo de administración cuando se convierten en noticia. Cuando dirigía la seguridad de la información en empresas anteriores, recuerda que los ejecutivos le llamaban después de leer sobre la última brecha de la seguridad, en busca de tranquilidad. "¿Podría pasarnos esto a nosotros? ¿Debemos preocuparnos? Pero nada más que eso".
Aunque SolarWinds acaparó los titulares, "piense en todos los demás impactos que se produjeron en la empresa al mismo tiempo", concretamente en la COVID-19, asegura John Pescatore, director de tendencias de seguridad emergentes en The SANS Institute. "Para el consejo de administración, la ciberseguridad es uno de los muchos riesgos de los que son responsables, y no es ni mucho menos el mayor riesgo para la mayoría de las empresas".
Alrededor del 85% de los líderes de seguridad en una reciente encuesta de Trend Micro/Enterprise Strategy Group afirma que los consejos de administración están más involucrados en las decisiones y estrategias de seguridad que hace dos años. Sin embargo, estos ejecutivos suelen participar de forma pasiva. El informe recomienda añadir un responsable de la seguridad de la información en la empresa (BISO) para mejorar la alineación de la seguridad empresarial, crear un programa medible de arriba abajo y cambiar las estructuras de información para que el Ciso informe directamente al director general. En última instancia, los analistas afirman que es responsabilidad del Ciso establecer relaciones con los ejecutivos y la junta directiva y mantener conversaciones periódicas con ellos.
"No se trata sólo de que la junta directiva ignore las cosas o de que los ejecutivos las minimicen. Necesitamos Cisos progresistas y proactivos para sacudir el mundo", asegura Jon Oltsik, analista principal de Enterprise Strategy Group.
Para mantener el impulso, los Ciso deben mantener la atención de la junta directiva con un flujo constante de información relevante desarrollada en términos de negocio y presentada en forma de riesgo y estrategia para la ciberseguridad. No sólo soluciones tecnológicas. Los líderes y analistas de seguridad ofrecen algunos consejos, herramientas y marcos para ayudar a traducir la seguridad en estrategia y mantenerla.
