Seguridad
CIO
Ciberseguridad
Infraestructura
Amenazas
CEO
CSO

Buenas prácticas en la relación ciberseguridad-dirección

Los equipos que se encargan de gestionar una empresa y los que protegen su TI deben mantener una relación fluida, con base en una buena comunicación.

team work

En un entorno digital, en el que cada vez hay más dependencia del equipo TI, la importancia de la cobertura en ciberseguridad crece en la misma medida. De ahí que el rol de los directivos esté cambiando tanto hacia una mayor implicación por la parte de la infraestructura como hacia la protección. La exploración de esta evolución ha sido uno de los ejes de la última Cumbre de seguridad y gestión de riesgos de Gartner. 

En una de las principales conferencias del evento, que se ha celebrado durante la pasada semana en National Harbor, en Estados Unidos, la consultora ha puesto énfasis en la importancia del vínculo entre los profesionales de seguridad y los altos cargos, con la experiencia de cliente como foco central. Un elemento, el de la experiencia de cliente, que se ha ido “profesionalizando” en los últimos tiempos, según explican: a medida que los usuarios van ganando práctica en el mundo digital, esperan un mayor grado de concreción y personalización en la oferta que les llega. 

Esto supone un reto a la hora de abordar la protección de toda la infraestructura, ya que implica cierto grado de descoordinación entre los departamentos comerciales y de seguridad y, en consecuencia, nuevas brechas a través de las cuales se dificulta mantener el control y la protección de todo el proceso. El esfuerzo por cubrirlas puede llevar a una limitación de la experiencia de usuario. De ahí que sea necesaria una buena coordinación entre todas las partes.

Para facilitar el entendimiento entre los equipos de seguridad y los directivos y, de esta manera, contribuir a una experiencia de usuario fluida, desde Gartner se propone una breve guía o manual de buenas prácticas. Se trata de cinco puntos a través de los cuales facilitar desde la ciberseguridad un mejor trabajo a los directivos, y que se resumen en una mejor comunicación y mayor fluidez en la relación entre ambas partes. 

En relación a la comunicación, Gartner apela a distintos estudios para explicar que el temor a los riesgos en seguridad supone un lastre para la innovación, por lo que llaman a los equipos de seguridad a que mejoren el conocimiento de los directivos en este tipo de temas, así como sobre otros que puedan repercutir en la experiencia de usuario. Es también importante que en las conversaciones entre equipos se eviten excesivos tecnicismos, apostando por un lenguaje en el que se hable en términos de negocios. Además, esta comunicación debe poner énfasis también en el apoyo a los directivos en la toma de decisiones, mediante evaluaciones de riesgo centradas en las operaciones, enfocándolas como un proceso de negocio.

A la hora de asumir las consecuencias de problemas de ciberseguridad, es habitual que los que den la cara sean los altos cargos generales. Por eso el equipo específico de protección de la compañía debe darles las herramientas para poder defenderse ante el escrutinio público característico de estos casos. “Hemos tratado la seguridad como una arte oscura durante tanto tiempo que, cuando una organización es hackeada, la gente no lo comprende”, explica Leigh McMullen, vicepresidente de investigación en Gartner, poniendo el foco no tanto en una protección total, que no es viable, sino en el concepto de “defensibilidad”.

La consultora apunta también una última idea: la de evitar pensar la ciberseguridad como un proyecto cerrado, con principio y cierre. Se debe enfocar como gestión de producto, donde no hay un final claro, sino una continuidad. Este cambio de enfoque puede resultar positivo a la hora de facilitar la relación entre equipos.