Por qué la ciberseguridad debe ser tarea de todos y 4 pasos para comenzar

Los CISO deben repensar cómo gestionar el riesgo cibernético como una prioridad organizativa.

Normalization_v2_1440x840.jpg

Conclusiones clave:

    • Los riesgos cibernéticos no son amenazas exóticas; son solo otra forma de riesgo empresarial.
    • Los CISO deben centrar los presupuestos primero en las personas y los procesos, y luego en la tecnología.
    • Fomentar una cultura de apertura en torno a la seguridad ayuda a las organizaciones a aceptar y gestionar mejor los riesgos.

Cada año, las empresas invierten más dinero en sus presupuestos de ciberseguridad: más de $262 000 en conjunto en 2021, frente a solo $3500 millones hace unos 20 años. Sin embargo, cada año, los ataques, las vulneraciones y las pérdidas continúan aumentando. Emplear las mismas tácticas y esperar resultados diferentes no es un enfoque racional para gestionar el riesgo de ciberseguridad. 

Por supuesto, algunas tácticas de seguridad —como definir niveles aceptables de riesgo, utilizar un seguro de responsabilidad para transferir parte de ese riesgo y mitigar el daño cuando ocurre— siguen siendo importantes para reducir el impacto de los ataques. Sin embargo, los líderes empresariales deben reconsiderar su estrategia organizacional. La seguridad empresarial es demasiado importante para ser competencia exclusiva de un puñado de especialistas, como lo ha sido durante años. Debe integrarse en el trabajo de todos en la empresa. 

Aquí hay cuatro estrategias que los CISO deben considerar para ayudar a poner la gestión del riesgo cibernético en un mejor camino.

1. Es hora de normalizar el riesgo de ciberseguridad

Primero, las organizaciones deben cambiar su forma de pensar sobre los riesgos cibernéticos. Los ciberataques se han considerado tradicionalmente como una amenaza exógena única, separada de otros aspectos de la gestión de riesgos corporativos. Eso necesita cambiar. 

El riesgo cibernético es un riesgo empresarial. Debe incorporarse en el marco de trabajo de gestión de riesgos de cada empresa y gestionarse con algunas de las mismas metodologías utilizadas en el modelado de riesgos financieros y operativos. Si los CFO y los COO pueden dormir decentemente por la noche, también deberían hacerlo sus compañeros de seguridad en la alta dirección.

En muchos sentidos, la ciberseguridad no es un problema tecnológico, sino organizativo. Los procesos de seguridad deben ser tan fundamentales para la empresa como los de incorporación de empleados o el diseño de excelentes experiencias para los clientes. Deben recibir la misma consideración que cualquier otra función comercial necesaria, junto con una financiación y una nómina acordes. 

La seguridad también debe ser más proactiva y menos reactiva. Así como una empresa no esperaría para contratar personal de ventas hasta después del lanzamiento de un producto, no debería esperar a que ocurra un incidente importante antes de financiar un equipo de ciberseguridad y poner en marcha los procesos adecuados.

Es un hecho que las organizaciones seguirán encontrando graves vulneraciones; la pregunta más importante es si tomaron medidas razonables para prevenirlas y con qué eficacia responden. 

2. Enfocarse en las personas, los procesos y la tecnología, en ese orden

A continuación, los CISO deben reconsiderar dónde están enfocando sus recursos. Sus presupuestos deben seguir un conjunto de prioridades claramente definidas y la tecnología, en la mayoría de los casos, no debe estar en la cima. La primera prioridad son las personas, y eso significa invertir en capacitar a sus empleados en la higiene de seguridad cibernética adecuada, en enseñar y capacitar nuevamente a sus equipos y en fortalecer una cultura de seguridad.

La próxima prioridad de gasto deberían ser los procesos internos. ¿Qué tan a fondo, por ejemplo, ha practicado la organización lo que hará en caso de un ataque de ransomware? Las comunicaciones internas y externas, la planificación de la continuidad operativa y cómo (o si) interactuar con los atacantes se planifican mejor antes de que se produzca la crisis.

En tercer lugar, solamente después de que se hayan abordado los problemas más urgentes relacionados con las personas y los procesos, los CISO deberían invertir en herramientas tecnológicas para ayudar a reducir y gestionar las amenazas. 

3. Más recompensas, menos sanciones

Casi 9 de cada 10 vulneraciones de datos son el resultado de errores humanos, según un estudio reciente de investigadores de la Universidad de Stanford. Y a pesar de los más de mil millones de dólares que las empresas gastan anualmente en capacitación sobre concienciación sobre seguridad, es poco probable que eso cambie. Las empresas deben encontrar nuevas formas de recompensar las buenas prácticas de seguridad.

Avergonzar a los empleados por errores de seguridad, por ejemplo, no los hace estar más pendientes. La mayoría de las veces, esto simplemente los asusta para que se callen y los hace menos propensos a hablar. O pueden intentar resolver el problema por sí mismos y empeorarlo sin saberlo. Si trabajan en una industria altamente regulada, eso puede dar lugar a sanciones.

En cambio, las organizaciones deben fomentar una cultura de apertura en torno a la seguridad, alentando a los empleados a hacer preguntas y dar señales de alerta. Algunas empresas envían ataques de phishing simulados y recompensan a los empleados que los identifican con éxito con tarjetas de regalo y otros beneficios. Otros ofrecen reconocimiento público a los empleados que aprueban la capacitación en seguridad requerida. Casi cualquier forma de reconocimiento positivo es un paso en la dirección correcta.

4. Facilitar el uso de las herramientas de seguridad

Gran parte de los miles de millones de dólares que las empresas gastan en tecnología de seguridad se destinan a software que nunca se utiliza. En muchos casos, estas son herramientas complicadas que requieren expertos que entiendan cómo usarlas, y esas personas son escasas. Con una escasez de mano de obra de seguridad que no desaparecerá pronto, según la Asociación de Seguridad de Sistemas de Información (ISSA) y la firma de analistas de la industria Enterprise Strategy Group (ESG), la tecnología de seguridad debe volverse más fácil de usar.

Las herramientas más simples no solo permitirían a los CISO contratar a más personas para manejar funciones de seguridad esenciales, sino que también abrirían la fuerza laboral a una gama más diversa de personas con diferentes antecedentes y experiencia tecnológica. Los ingenieros también deben dedicar más tiempo a proporcionar dashboards de control fáciles de entender que permitan a los altos ejecutivos y otras personas menos técnicas comprender el estado actual del riesgo.

Una de las razones por las que mi empresa, Elastic, ofrece una pila de tecnología gratuita y abierta es para fomentar y habilitar una comunidad vibrante de colaboradores. También creemos que abrir productos a una audiencia más amplia de desarrolladores los hace más seguros.

La seguridad empresarial no puede seguir siendo una función aislada gestionada por un equipo de especialistas. Debe ser parte de las responsabilidades de todos. Hacerlo así puede ayudar a las empresas a ir más allá de la simple reacción a las crisis y a un nuevo paradigma en el que gestionan la ciberseguridad de manera eficiente, como cualquier otro riesgo.

Nate Fick es gerente general de seguridad en Elastic.