En medio de vientos políticos en contra y de incertidumbre económica, nos encontramos en un momento difícil para negocio. La economía se está viendo afectada por la combinación de una inflación elevada y un crecimiento limitado del PIB. Mientras tanto, las cadenas de suministro se están viendo perturbadas por los conflictos internacionales (por ejemplo, Ucrania, Gaza y la insurgencia hutí) y el impacto continuo del Brexit. Y así, las empresas se ven arrastradas en múltiples direcciones debido a las presiones económicas y la incertidumbre, las dos cosas que más odian. Debido a estos desafíos, es seguro decir que estamos viviendo una crisis del «costo de hacer negocios».
Esta crisis ha visto la seguridad cibernética Los equipos sufren el rechazo de los tomadores de decisiones sobre nuevas inversiones. Ante la inestabilidad que provoca retrasos en las decisiones de gasto, se enfrentan por primera vez a recortes presupuestarios «en términos reales» o incluso reales. Esto los obliga a ser lo más ágiles posible para continuar respondiendo al cambiante panorama de la seguridad porque los impulsores clásicos del mercado (el panorama de amenazas en evolución, la creciente transformación digital, la creciente reforma regulatoria y la actual escasez de habilidades) significan que a los equipos de seguridad se les pide que entregar más con menos. Por lo tanto, la respuesta instintiva de costos de ‘rebanar salami’, y mucho menos no actuar en absoluto, simplemente no es una opción.
Por lo tanto, mantener un nivel adecuado de seguridad y encontrar una manera de seguir protegiendo a su empresa será una batalla cuesta arriba. Los líderes de seguridad deben encontrar nuevas formas de demostrar el valor de las decisiones de inversión que buscan.
Gerente de producto del Reino Unido, Orange Cyberdefense.
La seguridad como tema de gestión de riesgos empresariales
Cualquier organización que no proteja sus activos digitales sensibles de las amenazas cibernéticas cada vez más sofisticadas de hoy en día tendrá que pagar un alto precio. Según nuestro reciente informe Security Navigator, hubo un aumento global del 46 % en el número de víctimas de ciberataques en 2023.
Un factor que contribuye significativamente a esto es la tendencia de las empresas a ver la seguridad simplemente como una casilla de verificación en su lista de cumplimiento en lugar de abordarla como parte de una estrategia de gestión de riesgos empresariales más amplia (y consistente). Esto implica una falta de comunicación, ya que la alta dirección no comprende completamente la forma en que la seguridad aporta valor en toda su organización.
Sin embargo, la ciberresiliencia debería comenzar en la sala de juntas, donde las organizaciones deben alinear estrechamente la ciberseguridad con sus objetivos comerciales. Lograr esto requiere mejorar colaboración entre los CISO, la seguridad y el equipo de liderazgo en general para fomentar una comprensión más profunda de las necesidades de seguridad interna y cómo pueden respaldar los objetivos comerciales defendiendo sus activos más importantes y manteniendo el «negocio como siempre» frente a los ataques.
Por lo tanto, las reuniones ejecutivas deben abordar periódicamente la seguridad como un tema de gestión de riesgos empresariales, enfatizando la importancia de las asociaciones y la colaboración entre la junta directiva y los equipos de seguridad. Pueden hacer esto asegurándose de comprender la estrategia de gestión de riesgos de sus líderes empresariales, trabajando para cuantificar el riesgo de seguridad que enfrentan y presentando decisiones de seguridad en términos que ayuden a la junta directiva a mapear esta postura de riesgo de seguridad frente a su apetito por el riesgo. Esto permitirá a los expertos en seguridad asesorar sobre cómo asignar los presupuestos de manera más estratégica y facilitar debates abiertos sobre los desafíos inherentes al riesgo versus los costos que plantean los posibles incidentes cibernéticos.
Relacionarse siempre con la estrategia de negocio.
Nuestra investigación también encontró que el año pasado las grandes empresas representaron el 40% de los incidentes de seguridad. Con más partes interesadas, estas organizaciones a menudo sufren al intentar incorporar múltiples perspectivas, lo que puede hacer que la alineación entre el negocio y la seguridad sea más desafiante. Los líderes de seguridad deben centrar su actividad e inversiones en los riesgos más críticos que sean más relevantes contextualmente. De lo contrario, corren el riesgo de «hervir el océano», disminuyendo el impacto de su poder adquisitivo al diluir su atención.
La falta de enfoque empresarial en la estrategia de seguridad puede hacer que las organizaciones se pierdan la adopción de nuevas herramientas y tecnologías que podrían proporcionar una ventaja competitiva. Por ejemplo, en nuestra Cumbre anual de noviembre, una discusión informal entre socios y clientes encontró que solo alrededor de una cuarta parte de los líderes de seguridad asistentes tenían ChatGPT habilitado para el personal, y el resto alegó que fue bloqueado por razones de seguridad. Sin embargo, las empresas que puedan encontrar una manera para que los equipos de seguridad habiliten dichas tecnologías de forma segura obtendrán los beneficios y se pondrán por delante de sus competidores.
Para superar este problema, los equipos de seguridad deben aprender cómo «hacer negocios con la empresa». Esto significa comprender con qué está luchando la empresa en general y, fundamentalmente, ser capaz de explicar cómo pueden apoyarlo. Para lograr esto, es fundamental hacer que las nuevas herramientas sean «seguras por diseño», ya que las soluciones que mejoran la seguridad y al mismo tiempo preservan la usabilidad pueden ayudar a perfeccionar una ventaja competitiva. Sin embargo, esto depende de que los equipos de seguridad participen en nuevos proyectos desde el principio para que puedan demostrar su valor para las iniciativas comerciales.
Desafortunadamente, esto contrasta con la situación tradicional en la que la seguridad se incorpora al final y/o como una ocurrencia tardía, percibida por el resto del negocio como un «bloqueador» que ralentiza o diluye el valor de dichos proyectos. Al ayudar a los líderes empresariales a pensar creativamente sobre cómo se alinean las finanzas, la seguridad y las estrategias comerciales, los equipos de seguridad pueden ayudar a impulsar la agenda empresarial.
Automatización al rescate
Sin embargo, este nivel de colaboración con la empresa en general puede consumir mucho tiempo para los equipos de seguridad, que también intentan mantener defensas adecuadas y responder a las amenazas. Una forma de abordar esto es optimizar las operaciones de seguridad y utilizar la automatización para que puedan dedicar tiempo a tareas más significativas, sin quitar el pie del acelerador.
Si bien cada procedimiento tiene importancia, los equipos de seguridad deben reevaluar cómo priorizan su tiempo y cómo se pueden abordar las tareas cotidianas y mundanas para liberar (o «crear») capacidad. Si esto se hace correctamente, pueden mejorar las métricas de seguridad, minimizar los tiempos de respuesta a incidentes y, por lo tanto, reducir la exposición al riesgo, y al mismo tiempo crear más tiempo para trabajar más estrechamente con los líderes empresariales para resaltar la importancia de su función.
En última instancia, la seguridad debería ser parte de la respuesta y no parte del problema cuando se trata de superar el «costo de hacer negocios». Al liberar recursos con la ayuda de la automatización, los equipos de seguridad pueden desarrollar un papel más estratégico en la sala de juntas y forjar vínculos más estrechos con los líderes empresariales para abordar de manera proactiva las vulnerabilidades y desbloquear una ventaja competitiva.
Hemos enumerado las mejores soluciones de acceso a la red Zero Trust.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro