¿Cómo se puede equilibrar la seguridad con el crecimiento?

El riesgo cibernético se encuentra en niveles elevados y los directores de seguridad de la información (CISO) del Reino Unido están en alerta máxima. Ese es el cuadro pintado por el reciente EY Encuesta mundial sobre seguridad de la información 2021, basado en las respuestas de más de 1000 altos ejecutivos y líderes empresariales de todo el mundo.

Más de cuatro de cada 10 CISO del Reino Unido dicen que nunca se han sentido tan preocupados como hoy por su capacidad para gestionar la creciente amenaza cibernética, mientras que casi la mitad cree que la seguridad cibernética está siendo objeto de más escrutinio que en cualquier otro momento de sus carreras.

Esas preocupaciones se basan en las desafiantes realidades: el 85% de los CISO del Reino Unido revelan que experimentaron un mayor número de ataques disruptivos en los últimos 12 meses, muy por encima de sus pares globales. Esto es a pesar del hecho de que los CISO del Reino Unido cuentan con recursos relativamente buenos, y seis de cada 10 están contentos con la financiación que reciben para las operaciones de seguridad cibernética, una vez más, muy por encima del promedio mundial.

Entonces, ¿qué impulsa estos hallazgos y cómo se pueden abordar?

Abordar las vulnerabilidades de la cadena de suministro

Los riesgos cibernéticos dentro de las cadenas de suministro son un problema global para todos los CISO, pero nuestra encuesta revela que es lo que más preocupa a las empresas con sede en el Reino Unido. Esto puede reflejar la cantidad de ataques relacionados con la cadena de suministro, a menudo iniciados a través de terceros, que las organizaciones del Reino Unido han experimentado durante los últimos 12 meses.

Un factor clave en esto es cómo Brexit, así como Covid-19, ha obligado a las empresas a repensar sus redes y, al hacerlo, asumir nuevas exposiciones al riesgo cibernético. Como resultado, menos de la mitad de los CISO del Reino Unido (42%) confían en que su cadena de suministro está segura en su capacidad para defenderse y recuperarse de las amenazas.

Dada la potencia de estas amenazas externas, puede parecer contradictorio buscar soluciones dentro de la propia organización, pero la creciente necesidad de hacerlo se destaca por nuestro hallazgo de que muchos CISO del Reino Unido se preocupan por la solidez de sus relaciones con otras funciones comerciales clave. . Acercarse a las áreas operativas del negocio que inician y mantienen relaciones con los proveedores será muy valioso en este sentido.

Participación estratégica

Claramente vinculado a esto está el rol del CISO, o la falta de él, en términos de participación estratégica dentro de sus organizaciones. Las juntas directivas son muy conscientes de los problemas de seguridad cibernética, y un tercio de los encuestados del Reino Unido (34%) dicen que están en la agenda de la sala de juntas de forma semanal o mensual, pero sigue habiendo un desafío importante.

Hasta la fecha, pocos CISO han logrado cambiar la percepción de la organización sobre el papel comercial clave que juega la ciberseguridad, dejándolos en riesgo de ser excluidos de la conversación estratégica.

Gran parte del éxito de la función cibernética se reduce a cómo se posiciona dentro de la organización. Una buena forma de pensarlo es imaginar un iceberg. Por encima de la línea de flotación se encuentran los atributos y conocimientos que la empresa quiere y necesita ver. Debajo del agua está toda la actividad y el esfuerzo operativos.

El CISO de hoy necesita comprender el panorama completo pero, lo que es más importante, también debe poder traducir esto en lo que sea relevante para el negocio. Ser visto “por encima del agua” como un líder que comprende esto aumentará el valor del CISO y ayudará a demostrar el papel de la seguridad cibernética en el crecimiento futuro.

Agregar valor en lugar de defenderlo

Sin ese asiento en la mesa superior, los CISO corren el riesgo de permanecer reactivos y tácticos. Solo el 16% de los CISO del Reino Unido dicen que están incluidos en las discusiones sobre nuevas inversiones estratégicas en la etapa de planificación, en comparación con el 26% de los CISO de EE. UU. Y solo uno de cada 10 CISO del Reino Unido tiene una línea de informes directa con el CEO de su organización, frente al 14% a nivel mundial.

Para ganar su lugar en la mesa, la seguridad cibernética debe asegurar una reputación dentro de la empresa como un habilitador estratégico. Eso significa abrazar el cambio, en lugar de arriesgarse a ser percibido como un bloqueador. Solo un tercio de los CISO creen actualmente que el equipo ejecutivo describiría la seguridad cibernética como un factor que permite la innovación. Cambiar esas percepciones ayudará a garantizar que se consulte a los CISO sobre nuevas ideas en la etapa más temprana posible.

Conquistando el cumplimiento

Desde regulaciones supranacionales, como GDPR, hasta requisitos nacionales y específicos del sector, los CISO del Reino Unido se enfrentan a un conjunto cada vez más complejo de desafíos de cumplimiento. No es de extrañar, entonces, que la mitad de los CISO del Reino Unido crean que el cumplimiento puede ser el elemento más estresante de sus trabajos.

En respuesta, los CISO pueden volverse más inteligentes a la hora de cumplir con los requisitos de cumplimiento. Eso significa pensar detenidamente sobre la estructura organizativa, incluida la gobernanza, de la seguridad cibernética. Por ejemplo, al implementar un conjunto centralizado de controles, los equipos de seguridad pueden optimizar el cumplimiento y evitar la necesidad de responder a una miríada de solicitudes de cumplimiento. El diseño de estructuras en torno a los riesgos organizacionales en lugar de los requisitos de cumplimiento individuales es otra forma de crear un enfoque más eficiente y amigable para las empresas.

Hablando de eficiencia, un mejor uso de la automatización permitirá a los profesionales cibernéticos centrar más la atención en el trabajo basado en riesgos y de valor agregado. Si bien invertir en nuevas herramientas, como la automatización de procesos robóticos, puede parecer una prioridad, el verdadero desafío suele ser obtener más valor de las herramientas existentes.

Esta instantánea de la industria de la ciberseguridad muestra que los CISO del Reino Unido se encuentran en una posición sólida para respaldar los planes de crecimiento pospandémicos de sus empresas. Pero para hacerlo, primero deben expandir su influencia estratégica dentro del negocio, comprender y corregir las vulnerabilidades en la cadena de suministro y optimizar el cumplimiento utilizando los mejores enfoques y tecnologías.

Gavin Cartwright es socio y líder de seguridad cibernética en EY UK&I

Más contenido para leer:  El kit de SonicWall heredado explotado en una campaña de rescate

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales