¿Existe una desconexión entre los líderes empresariales y los equipos de seguridad?

¿Existe una desconexión entre los líderes empresariales y los equipos de seguridad?

Publicado porCristina Moldovan Publicado enData Loss Prevention

Hace apenas una o dos décadas, la ciberseguridad solía ser una preocupación sólo para los actores más destacados del mercado. Hoy, en la era de la transformación digital, todo el mundo está pendiente, incluso las empresas más pequeñas.

Manejar la ciberseguridad ya no consiste sólo en protegerse contra los virus y el software espía y los hackeos ocasionales de la red, como a principios de siglo. Ahora, se trata de mantener el cumplimiento, la confianza cero, evitar los ataques de ransomware, no caer en el phishing bien enfocado, no tener las aplicaciones web llenas de vulnerabilidades, mantener no solo la seguridad de los puntos finales sino también la de la nube… La lista de ciberamenazas es interminable.

Esta rápida evolución, impulsada por el crecimiento explosivo de las organizaciones criminales especializadas en ciberataques, no es fácil de manejar, especialmente en sectores como el de la sanidad o el de los servicios financieros, a menudo objetivo de los ciberdelincuentes. En consecuencia, los equipos de ciberseguridad se sienten a menudo como estructuras añadidas, no como algo totalmente integrado en las entrañas de una organización. Y en tales situaciones, las empresas experimentan las dolorosas consecuencias de la desconexión entre los líderes empresariales y los equipos de seguridad.

Ciberseguridad y organización: amigos y enemigos a la vez

El papel de los equipos de seguridad no es fácil: en cierto modo, son la policía interna de la organización que vigila el trabajo de los demás. Y al igual que con la policía normal, esto provoca una recepción emocional mixta por parte de los sujetos observados. Algunos empleados aprecian plenamente el hecho de que alguien les vigile y se asegure de que sus acciones no tengan consecuencias nefastas. Pero muchos simplemente se sienten molestos por las limitaciones o se sienten incómodos con que alguien les vigile las espaldas en tiempo real.

Esta relación, que podría describirse mejor como de enemistad, hace que los líderes empresariales, como los altos cargos de una empresa, tengan más dificultades para apreciar la necesidad de una cobertura completa de ciberseguridad. Para estos equipos de liderazgo, un equipo de ciberseguridad puede ser percibido no sólo como una molestia en el presupuesto, sino también como un factor que afecta negativamente a la moral de la empresa.

El dolor de trabajar con desarrolladores

La mayor desconexión entre los equipos de seguridad y el resto de la empresa se observa en el caso de los equipos de desarrolladores. Un estudio de 2021 encargado por VMware y realizado por Forrester Research descubrió que el 52% de los desarrolladores encuestados cree que las políticas de seguridad están ahogando su innovación. Este estudio muestra que hay algunos avances en este aspecto, pero aún queda mucho camino por recorrer.

Parece trágico que los desarrolladores, que tienen una mentalidad técnica y suelen ser conscientes de los riesgos de seguridad, sean también el mayor inconveniente cuando se trata de integrar los equipos de seguridad en el ecosistema empresarial. Sin embargo, esto es el resultado de la tardía y rápida introducción de la seguridad en los entornos empresariales; como ya se ha mencionado, más como un complemento que como una parte integral.

El difícil papel de un CISO

Por supuesto, el que se enfrenta a todos estos retos en las grandes organizaciones es el director de seguridad de la información (CISO, por sus siglas en inglés). Por un lado, el responsable de seguridad debe impulsar el ecosistema de seguridad más eficiente, y por otro, debe enfrentarse a la reacción de otros líderes empresariales que pueden no estar contentos con las limitaciones.

Como ejemplo muy simple de este problema, digamos que una organización tiene muchos trabajadores remotos que son contratistas y trabajan en sus propias máquinas, no en los portátiles de la empresa. Esto crea una situación muy difícil en la que el CISO debe, por un lado, diseñar una estrategia de seguridad que haga posible que dichos contratistas trabajen de forma eficiente y, por otro lado, mantener la información a la que acceden totalmente segura.

Me quito el sombrero ante los CISO. No deben caer mientras caminan por la línea entre los altos cargos y otras partes interesadas, los riesgos de ciberseguridad, los presupuestos y los usuarios insatisfechos.

Inconvenientes debidos al conocimiento limitado

Otro factor que desempeña un papel importante en la desconexión entre los líderes empresariales y los líderes de seguridad y sus equipos es lo difícil que resulta entender la ciberseguridad para alguien que no tiene formación en tecnología. Muchos líderes empresariales deben confiar en sus homólogos de seguridad que la ciberseguridad no es una tarea única y sencilla.

Una vez más, no es de extrañar que un líder empresarial que se enfrente a todo el alcance de las posibles necesidades de ciberseguridad esté simplemente desconcertado y no entienda por qué se necesita todo este esfuerzo y dinero para mantener un programa de seguridad eficiente. Les cuesta entender por qué la empresa necesita muchos especialistas en seguridad y soluciones de seguridad. Por ejemplo, intente explicar al vicepresidente de la junta directiva por qué su organización necesita una solución DLP, un producto XDR, un escáner de vulnerabilidad web, un escáner de seguridad de red, un WAF, un IDS/IPS, así como investigadores de seguridad, equipos de respuesta a incidentes, líderes de inteligencia de amenazas, unidades de gestión de riesgos, especialistas en métricas de ciberseguridad… ¿por qué ya no basta con activar Microsoft Defender en todas las máquinas?

Automatización y herramientas: la mejor solución

Lo que ayuda a los CISO y a sus equipos de seguridad a obtener los mejores resultados es automatizar los procedimientos en la medida de lo posible. La ventaja obvia es la eficiencia del trabajo en estos casos: muchos elementos de la postura de seguridad son manejados por la herramienta mucho más rápido que si se hicieran manualmente. Un ejemplo sencillo sería: la comprobación de las vulnerabilidades del software, donde las pruebas de penetración manuales a través de la investigación de seguridad no podrían ni siquiera empezar a compararse en eficiencia con el escaneo de vulnerabilidades.

Sin embargo, hay otra gran ventaja de utilizar tantas herramientas como sea posible para ayudar a mantener la mejor postura de seguridad: la gente no se molesta con las herramientas tanto como con otras personas. Si, por ejemplo, un profesional de la seguridad envía un mensaje a un empleado sobre un posible problema de seguridad que las acciones del empleado podrían causar, es probable que el empleado se tome este mensaje de forma personal y emocional. Por otro lado, si el mismo empleado recibe un mensaje de una herramienta antes de realizar la acción arriesgada, puede maldecir un poco a la tecnología, pero es poco probable que guarde rencor al software.

Por lo tanto, la mejor manera de que un equipo de seguridad se encargue de la ciberseguridad y, al mismo tiempo, mantenga una relación saludable con el resto de la empresa, incluidos los líderes empresariales, es la herramienta adecuada. Nosotros podemos ayudarle con eso.

Artículos Relacionados:

OBTENGA UNA DEMO
* No compartimos su información personal con nadie. Consulte nuestra Política de privacidad para más información.

De confianza para