Las empresas deben construir una estrategia de seguridad que esté alineada con las necesidades del negocio.
Video: Por qué su empresa debe invertir en infraestructura de ciberseguridadNinguna empresa está a salvo del ciberataque, pero con la estrategia adecuada su empresa puede construir defensas sólidas. Anthony Grieco, Oficial de Estrategia de Confianza de Cisco, describe los beneficios de una estrategia holística.
Los equipos de ciberseguridad de las empresas se encuentran en medio de una tormenta cada vez más intensa: Los desafíos tecnológicos son cada vez más complejos, y la velocidad de los negocios sigue aumentando junto con el número de amenazas cibernéticas a las que se enfrentan las empresas, dijo Andrew Rose, director de seguridad de Vocalink, en una sesión del jueves en RSA 2019.
Más información sobre ciberseguridad
«La seguridad está siendo sometida a una enorme presión para mantenerse al día, y si no lo hace, nosotros somos los culpables», dijo Rose. «Tenemos que seguir el ritmo o simplemente nos dejarán fuera.»
También estamos en medio de la era del cliente, en la que los clientes se preocupan más que nunca por la privacidad y la seguridad, y si no están satisfechos con una empresa, se van, dijo en la sesión Jinan Budge, analista principal de Forrester Research.
VER: Política de respuesta a incidentes (Tech Pro Research)
Sin embargo, todo esto abre nuevas oportunidades y desafíos cuando se trata de crear una estrategia de ciberseguridad transformadora, dijo Budge.
«Hay una delgada línea entre la parte profundamente técnica y científica de la ciberseguridad y la parte de la gente, de la que pasamos menos tiempo hablando, la que realmente permite una transformación sostenible», dijo Budge. «Hemos visto cómo uno sin el otro puede fallar.»
Una buena estrategia hace que la seguridad pase de ser un problema de TI a un problema de confianza de los clientes, dijo Budge. También hace que la seguridad pase de ser una disciplina centrada en la técnica a una disciplina holística, y da a las empresas la libertad de alcanzar sus aspiraciones digitales, en lugar de actuar como un agente de bloqueo, añadió.
Las malas estrategias de ciberseguridad son aquellas que hacen que las empresas se pierdan las brechas que experimentan, que inviertan en las áreas equivocadas, que requieran que los equipos dediquen su tiempo a responder tácticamente, y que luchen por atraer y retener el talento, dijo Budge.
No existe una solución milagrosa para crear una estrategia de ciberseguridad; cada una depende del tamaño de la organización, su madurez en materia de ciberseguridad y el nivel de apoyo en la organización, dijo Budge.
He aquí tres caminos diferentes que las empresas pueden seguir para crear una estrategia de ciberseguridad.
1. Una rápida hoja de ruta tecnológica
Una rápida hoja de ruta tecnológica incluye lo siguiente:
- Lista de iniciativas y proyectos clave que deben llevarse a cabo
- Sirve para lograr el cumplimiento
- Técnicamente enfocado
- Línea de tiempo clara
Los beneficios de esta estrategia incluyen el hecho de que es rápida de armar y puede implicar un plan de un año. También es cómodo para el CISO y el equipo de seguridad para construir. Sin embargo, los desafíos incluyen el hecho de que es insular, y no considera la cultura, o las partes interesadas de los negocios o de los clientes. Tampoco consigue la aceptación necesaria para un cambio sostenible.
«La hoja de ruta de la tecnología rápida es rápida de armar, y usted cree en ella porque la escribió de forma independiente», dijo Rose. «Pero es difícil que el negocio se involucre en él, porque no han sido parte de su creación, y no se ven reflejados en él». Sin embargo, esta opción sigue siendo mejor que no tener nada en absoluto, agregó.
VER: Plantilla de política de seguridad de red (Tech Pro Research)
2. Estrategia alineada con el riesgo
Una estrategia alineada con el riesgo implica:
- Apoya su estrategia de negocio
- Visión clara de las lagunas y los riesgos
- Realización de beneficios definidos
- Borrar la hoja de ruta y el cronograma
- Considera que los riesgos empresariales son el núcleo de su actividad
- Considera el panorama de las amenazas
- Se centra en la protección de las joyas de la corona de su organización
Esta estrategia impulsa el espíritu competitivo entre las unidades de negocio, así como la madurez del control. También ofrece imágenes y métricas sólidas para demostrar la reducción de riesgos, lo que la convierte en una opción transformadora. Los desafíos que implica esta estrategia incluyen el hecho de que está impulsada por TI en lugar de por objetivos empresariales, y necesita que la unidad de negocio comprometida coteje los datos.
«Esto requiere más compromiso por parte de los líderes empresariales y más tiempo y esfuerzo por parte de su equipo para trabajar juntos», dijo Rose. «Pero tiene los beneficios de las grandes métricas asociadas con él, le permite discutir el tablero y mostrar el proceso real sobre a dónde va la estrategia.» Sin embargo, todavía se centra en gran medida en las tecnologías de la información y no en una visión completa, agregó.
3. Enfocado en las partes interesadas
Una estrategia centrada en las partes interesadas implica:
- Un documento comercial
- Respaldado por los consejos de administración y los ejecutivos
- Se extiende a todos los grupos de interés, incluyendo clientes, socios y ciudadanos.
- Con visión de futuro y transformador
Esta estrategia requiere un importante compromiso y le permite integrar la seguridad en todos los aspectos de su negocio, convirtiéndola en una opción transformadora. Los desafíos incluyen su alto costo, sus importantes habilidades de gestión del cambio y el hecho de que se encuentra fuera de la zona de confort de muchos CISOs.
«Algunos de los beneficios son bastante fenomenales», dijo Budge. «Cuando llevas a todo el mundo en el viaje contigo para crear una estrategia, cada uno tiene una aportación. Es probable que cuentes con el apoyo de todos a través de la creación de la estrategia, pero también a través de la ejecución». Sin embargo, se necesita mucho más tiempo y esfuerzo para lograrlo, agregó.
Próximos pasos para los CISOs en la creación de una estrategia de ciberseguridad
Los CISOs deben seguir estos pasos en los próximos meses para crear la estrategia de ciberseguridad transformadora adecuada para ellos, dijo Rose:
-Decide cuál es tu estrategia. No hay vergüenza en ninguno de ellos, lo importante es empezar y crear documentación para uno de ellos, dijo Rose.
-Identificar a los actores clave influyentes, y cómo pueden ser parte de su estrategia y transformación.
-Definir la declaración de misión de su estrategia
-Sea claro en las prioridades de su programa de seguridad
-Construir un documento de estrategia de ciberseguridad de tamaño adecuado, basado en el riesgo y alineado con el negocio.
-Compartir su estrategia con sus grupos de interés clave
Para obtener consejos sobre cómo elegir el marco de ciberseguridad adecuado, consulte esta historia de ConsejoTecnologico.com.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves