• Las iniciativas de ciberseguridad de las empresas mexicanas rara vez están alineadas con los objetivos del negocio.
• El 79% de los líderes de negocios y de seguridad mencionó que sus estrategias de respuesta ante el COVID-19 están, en el mejor de los casos, "relativamente" alineadas.
• Tenable y Forrester han identificado tres etapas de madurez para medir el progreso hacia una alineación más sólida entre los líderes de seguridad y las contrapartes del negocio.

Por Francisco Ramírez de Arellano

Vicepresidente de Tenable América Latina. 

El COVID-19 ha arrojado luz sobre la desconexión entre los líderes de seguridad y el negocio. En el actual clima de incertidumbre en nuestro país, los negocios digitales requieren una nueva forma de medir y gestionar el riesgo cibernético como riesgo estratégico del negocio. Para lograr esto, los líderes de seguridad deben madurar los programas de ciberseguridad para alinearse con los objetivos de su negocio.

Según el estudio El Ascenso del Ejecutivo de Seguridad Alineado con el negocio, Enfocado a México realizado por Forrester Consulting, a petición de Tenable, menos del 50% de los líderes de seguridad en las organizaciones mexicanas consideran el impacto de las amenazas de ciberseguridad en el contexto de un riesgo específico del negocio. Poco más de la mitad (53%) afirmó que sus organizaciones de seguridad trabajan con los stakeholders del negocio para alinear los objetivos de reducción de costos, rendimiento y riesgos con las necesidades de su negocio.

Las estrategias de seguridad reactivas, de madurez temprana y menos alineadas dificultan que los líderes de seguridad obtengan una imagen clara de la postura de seguridad de sus organizaciones para comprender qué amenazas representan el mayor riesgo para la empresa. Aún más preocupante, cuando las estrategias de ciberseguridad están desconectadas de los objetivos del negocio, el mensaje de riesgo a menudo se pierde en el camino. 

Según el estudio, aunque el 95% de los encuestados en México dijeron que sus organizaciones han desarrollado estrategias de respuesta al COVID-19, el 79% mencionó que estas estrategias están, en el mejor de los casos, sólo "algo" alineadas.

Debido a la repentina digitalización que muchas empresas tuvieron que emprender en medio de la pandemia global, se requiere un nivel de alineación estratégica entre los líderes del negocio y de seguridad para proteger las iniciativas digitales del riesgo cibernético durante el 2021.

Tenable y Forrester han identificado tres niveles de madurez para alinear los objetivos entre los líderes de seguridad y sus contrapartes del negocio. Esta guía permite a las organizaciones comprender dónde se encuentran actualmente, con el fin de mejorar las estrategias de ciberseguridad y garantizar una comprensión universal de los objetivos del negocio. Los niveles de madurez los agrupan de la siguiente manera:

● Menos alineado: las iniciativas de ciberseguridad están aisladas y rara vez se alinean con los objetivos del negocio. Debido a que la estrategia de seguridad está desconectada de los objetivos del negocio, las actividades de seguridad tienden a ser de naturaleza reactiva y el mensaje de riesgo a menudo se pierde en la comunicación.

● Moderadamente alineado: las organizaciones de seguridad utilizan la tecnología para obtener inicialmente una evaluación holística de los activos críticos de la organización y la superficie de ataque, así como para automatizar el descubrimiento continuo de activos y la gestión de vulnerabilidades. Pero las métricas de desempeño son de naturaleza técnica y, por lo tanto, los líderes del negocio no las comprenden bien.

● Altamente alineado: las organizaciones de seguridad están alineadas con el negocio para hacer coincidir los objetivos de reducción de costos, rendimiento y riesgos con las necesidades del negocio. La organización de seguridad revisa periódicamente sus métricas de desempeño con las partes interesadas del negocio para asegurarse de que brinden resultados significativos y demostrables.

Con respecto a los beneficios de la alineación del negocio y de seguridad, el estudio muestra que los líderes de seguridad más altamente alineados con el negocio tienen ocho veces más probabilidades que sus pares que trabajan de manera aislada, de tener una gran confianza en su capacidad para informar sobre el nivel de seguridad o riesgo de sus organizaciones. También superan a sus homólogos más reactivos y aislados en la automatización de procesos clave de evaluación de vulnerabilidades por márgenes de +49 y +66 puntos porcentuales. Asimismo, el estudio destaca que el 85% de los líderes de seguridad alineados con el negocio cuentan con métricas para monitorear el retorno de la inversión en ciberseguridad y el impacto en el rendimiento del negocio en comparación con sólo el 25% de sus pares más reactivos y aislados.

Finalmente, para lograr la alineación, los CISO y otros líderes de seguridad necesitan la combinación correcta de tecnología, datos, procesos y personas. Los líderes de seguridad deben alinear sus estrategias de ciberseguridad con los objetivos y prioridades del negocio para evolucionar desde el antiguo enfoque reactivo y aislado de “detectar, proteger y defender”, a una estrategia que empodere a la seguridad y al negocio para adoptar una visión ofensiva del riesgo de ciberseguridad y alinearlo con las decisiones del negocio.