¿Alguna vez ha escuchado a alguien preguntar seriamente en una empresa: “¿Quién es el propietario del departamento legal?” o “¿Quién establece la estrategia financiera?” Probablemente no, debería ser obvio, ¿no? Sin embargo, cuando se trata de ciberseguridad, la cuestión de la propiedad todavía parece generar debates interminables.
Eso podría haber sido comprensible en la década de 1990, cuando los roles clave de seguridad como el CISO aún se estaban definiendo, pero hoy en día debería ser una seria señal de alerta.
Hace tiempo que la seguridad dejó de ser una preocupación técnica de nicho: es una función empresarial fundamental. Por eso resulta frustrante ver que todavía hay organizaciones que la tratan como una idea novedosa o una ocurrencia de último momento, encajándola en algún punto entre la TI y el cumplimiento normativo, sin un líder o una dirección claros.
Ante actores amenazantes cada vez más agresivos y organizados, ya no es hora de debatir. La ciberseguridad necesita un líder claramente definido que tenga el poder de liderar. Cualquier otra cosa está condenada al fracaso.
¿Quién debería estar a cargo?
Si se reúnen en una sala a una docena de líderes empresariales diferentes y se les pregunta quién está a cargo de la seguridad, es posible que se obtengan las mismas respuestas. El CISO parece la respuesta más obvia, pero también podría ser el CIO, el jefe de TI o muchas otras variaciones sobre un tema.
El nombre en sí no importa. Lo que importa es que se trate de la persona más calificada de la empresa. En la mayoría de los casos, será el CISO, pero muchas empresas (especialmente las más pequeñas) no cuentan con uno.
En ese caso, la responsabilidad de la seguridad debe recaer en los directivos superiores. Alguien (el director de operaciones, el director financiero o incluso el director general) debe ser explícitamente responsable. La excusa de que “no tenemos un responsable de seguridad exclusivo” no sirve. Muchas empresas son perfectamente capaces de establecer una estrategia financiera con un responsable financiero que no sea el director financiero, por lo que sin duda pueden establecer una estrategia de seguridad sin un director de seguridad de la información.
Pero la cuestión real no es sólo encontrar a la persona adecuada, sino asegurarse de que tenga la autoridad, los recursos y el apoyo de toda la empresa para ejecutar con eficacia. Incluso el CISO más astuto sin respaldo es sólo una figura decorativa, y la seguridad por comité es una receta para el desastre.
A menos que se les conceda a los líderes cibernéticos el mismo nivel de autoridad y responsabilidad que a los estrategas legales o financieros, seguirán estando expuestos. La indecisión interna es un regalo para los cibercriminales que buscan un objetivo vulnerable.
Por qué la seguridad no puede funcionar de forma aislada
Todos hemos pasado muchos años argumentando que la ciberseguridad es un problema empresarial y no de TI. Sin embargo, con demasiada frecuencia se sigue tratando a la seguridad como una función aislada, que se deja que funcione en el vacío. Ese es un error grave. Si los líderes de seguridad no tienen un lugar en la mesa, no pueden dar forma significativa a la estrategia empresarial más amplia.
Proteger la seguridad de la empresa es un trabajo en equipo. Así como el director financiero no es el “dueño” del éxito financiero de forma aislada, el director de seguridad de la información (o quien esté a cargo de la seguridad) no debería tener que luchar solo.
Si bien debería haber un líder de seguridad claramente definido, los altos ejecutivos deben asumir la responsabilidad conjunta de garantizar que la seguridad esté integrada en todos los aspectos de la organización.
La estrategia de seguridad debe ser de arriba hacia abajo, no de abajo hacia arriba. Si el liderazgo no la impulsa, ningún control técnico salvará la empresa. Las políticas de seguridad (ya sea que impongan la autenticación multifactor o establezcan reglas de gobernanza de datos) no deben enmarcarse como mandatos de TI. Son decisiones empresariales y deben tratarse como tales.
La gobernanza es la columna vertebral de una estrategia de seguridad sólida
Una parte importante de la creación de una estrategia cibernética como esfuerzo de equipo es respaldarla con una gobernanza adecuada. Sin embargo, la ciberseguridad suele abordarse como una aspiración vaga en lugar de como una función estructurada y responsable. Una estrategia sin gobernanza es poco más que una lista de deseos.
Sin una gobernanza clara , los esfuerzos de seguridad fácilmente se vuelven reactivos, inconexos y propensos a ser anulados por quien grita más fuerte en la sala de juntas.
La gobernanza garantiza que la ciberseguridad sea una prioridad empresarial exigible en lugar de un ejercicio de verificación de requisitos. Esto implica establecer políticas claras, definir la tolerancia al riesgo y, lo más importante, garantizar que las decisiones de seguridad se tomen en función de las necesidades empresariales reales y no de políticas internas.
Además, la gobernanza no se limita a imponer mandatos desde arriba. Es una vía de doble sentido: la junta directiva establece la dirección, pero la retroalimentación de los equipos de seguridad y el personal operativo la perfecciona. Un marco de gobernanza que solo existe en el papel sin aportes de la realidad del negocio es tan peligroso como no tener ninguno.
Para mantener la ciberseguridad alineada con los objetivos empresariales más amplios, es necesario que las principales partes interesadas se comuniquen de forma regular. La frecuencia depende del tamaño y la estructura de la empresa, por lo que cada empresa deberá encontrar un equilibrio. Las inversiones y los cambios importantes deben pasar por un proceso de Comité Asesor de Cambios (CAB) para asegurarse de que todo esté contemplado.
Subcontratación: ¿solución o atajo?
Vale la pena señalar que, en muchas empresas, la seguridad no se gestiona internamente, sino que es una función subcontratada. Por lo general, esto es competencia de las empresas más pequeñas que carecen de los recursos necesarios para contratar y retener a un responsable cibernético exclusivo, pero también puede suceder en empresas más grandes.
He estado en ambos lados de la barrera en diferentes momentos de mi carrera, tanto trabajando como consultor como gestionando un proveedor externo.
Una lección importante es que no funciona cuando una empresa simplemente le arroja la idea a un grupo de consultores y les dice: “Constrúyannos una estrategia de ciberseguridad”. Sin la orientación y la orientación adecuadas, el resultado probablemente no se ajuste a su empresa.
Hace muchos años, trabajaba en una empresa y externalizamos la planificación de la continuidad del negocio a un gran proveedor. Elaboraron un plan de 200 páginas, meticuloso y muy bien diseñado, que no servía para nada a nuestra empresa. Lo reescribimos y, finalmente, lo redujimos a 15 páginas, que se ajustaba perfectamente a nuestras necesidades.
Por otro lado, trabajando como consultor he ayudado a crear algunos marcos excelentes en los que la empresa hace la mayor parte del trabajo: yo solo estoy allí proporcionando un marco y haciendo las preguntas correctas para que piensen en ello de la manera correcta.
También recomiendo encarecidamente que, si no está dispuesto a seguir comprometido, no subcontrate nada. La seguridad no es algo que se entrega una sola vez. La supervisión y la rendición de cuentas continuas que se requieren no se pueden subcontratar por completo.
Un poco menos de conversación, un poco más de acción.
Ninguna empresa esperaría tener éxito sin un liderazgo legal o financiero claro, así que ¿por qué la seguridad es diferente? El interminable debate sobre la propiedad de la ciberseguridad debe terminar.
Determine quién está a cargo, dale la autoridad para liderar y asegúrate de que tenga todo el apoyo comercial para hacer lo que necesita para tener una organización segura.
Dejemos de debatir, empecemos a decidir y demos a la ciberseguridad el liderazgo que merece.
Fuente y redacción: Thom Langford / helpnetsecurity
