3 pasos que los CISO deben tomar para demostrar el valor de la ciberseguridad

Las juntas directivas saben que el riesgo cibernético es un componente clave del riesgo operacional, y cada vez exigen más que los CISO demuestren ganancias tangibles de seguridad.

Para los líderes que sienten esta presión creciente, la clave del éxito radica en cambiar nuestro enfoque de las amenazas al valor. Es hora de pasar del reporting cualitativo a medidas más cuantitativas y basadas en el valor para demostrar las formas en que son los programas de ciberseguridad apoyar los resultados del negocio.

Estos son los tres pasos que recomiendo que tomen los líderes de seguridad para adoptar un enfoque basado en el valor que tenga éxito en la sala de juntas y proteja a su organización de las amenazas cibernéticas en evolución.

‍1. Trabajar hacia atrás desde los objetivos del negocio

Para hablar verdaderamente con problemas de seguridad a nivel de la junta, los equipos de seguridad deben trabajar hacia atrás desde los resultados del negocio. Ya no es suficiente pensar en la seguridad como un ejercicio de casilla de verificación: los CISO y sus equipos deben tener una estrategia enfocada que demuestre eficacia. y eficiencia.

Al alinear los objetivos de seguridad con los objetivos generales del negocio, puede demostrar cómo su programa y sus gastos se alinean con los resultados clave del negocio mientras contribuyen a mejorar la resiliencia general de la organización. Esto obligará a pasar de la presentación de informes cualitativos a medidas más cuantitativas basadas en el valor para demostrar el impacto de la ciberseguridad.

Por ejemplo, no diga simplemente que la organización debe invertir en mejorar la autenticación porque es una táctica de seguridad importante. En su lugar, explique cómo un objetivo principal del negocio se beneficiará al priorizar la autenticación e invertir en una solución de autenticación mejorada. Esta mentalidad actualizada garantiza que solo esté invirtiendo en la tecnología que le permite demostrar valor alineado con los objetivos del negocio.

2. Demuestre rigurosamente el ROI de la seguridad

A pesar de las inversiones masivas en herramientas de seguridad, las organizaciones de todas las industrias, geografías y tamaños siguen experimentando ciberataques catastróficos. De hecho, Informe de IBM sobre el costo de una brecha de datos de 2023 encontró que las violaciones de datos costaron a las organizaciones 4.45 millones de dólares en promedio el año pasado. Esto demuestra que muchos equipos de seguridad están implementando tecnología de seguridad sin tener pruebas de que está teniendo un impacto positivo en ciberresiliencia.

Es hora de conectar los esfuerzos de ciberseguridad con beneficios tangibles y medibles de resiliencia. Cada dólar gastado en ciberseguridad debería mostrar ganancias significativas en la postura de seguridad o una reducción del riesgo mensurable.

Las juntas directivas reconocen que el riesgo cibernético juega un papel importante en el riesgo operacional de la organización. Exigirán que los líderes de ciberseguridad demuestren ganancias tangibles en ciberseguridad. Los equipos de seguridad deben demostrar rigurosamente que las inversiones están directamente vinculadas a beneficios reales. Las juntas directivas, que exigen más datos y evidencia, evaluarán el costo de solucionar los problemas cibernéticos frente a los riesgos financieros de dejarlos sin abordar.

3. Crear estrategias y comunicarse en términos comerciales

El riesgo de ciberseguridad es un riesgo para el negocio, y depende de CISO para traducir las tácticas de seguridad en una estrategia de seguridad unificada que ayude a mitigar este riesgo.

La ciberseguridad basada en datos se está convirtiendo en la norma, y se espera que los líderes de seguridad proporcionen actualizaciones periódicas sobre cómo las iniciativas y herramientas cibernéticas han reducido o mitigado el riesgo y han impulsado la resiliencia. Las juntas directivas querrán saber cómo las iniciativas de seguridad respaldan los resultados del negocio. Desafortunadamente, muchos CISO no se están comunicando lo suficiente con los altos directivos.

De acuerdo con investigación según Harvard Business Review, solo el 47 por ciento de los miembros de la junta interactúa con sus CISO de manera regular.

Es esencial adoptar un enfoque basado en el riesgo, idealmente construido en torno a principios como la defensa en profundidad o la confianza cero. Una estrategia cohesiva guiará no solo su toma de decisiones, sino que también garantizará que el liderazgo empresarial pueda ver cómo está desarrollando una defensa integral contra las amenazas.

Cuando hable sobre su programa, especialmente en un entorno a nivel de junta, participe en conversaciones relacionadas con los objetivos generales y finales de la organización en lugar de tácticas o amenazas de seguridad específicas. Este enfoque de comunicación estratégica asegura que la ciberseguridad no se vea solo como un centro de costos sino como una parte integral para lograr el éxito del negocio.

Los líderes de seguridad que van a ganar son aquellos que pueden articular claramente el impacto que sus programas están teniendo en el negocio.

Un enfoque basado en el valor de la ciberseguridad es el futuro

La era de los ejercicios de casillas de verificación, los datos cualitativos y las estrategias desalineadas ha terminado para la ciberseguridad. Es imperativo que los líderes de ciberseguridad realicen la transición de un enfoque centrado en las amenazas a uno centrado en el valor, alineando los esfuerzos de seguridad con los objetivos del negocio. Aquellos que prioricen un enfoque basado en el valor emergerán como ganadores a largo plazo. Anticipe un futuro en el que un enfoque centrado en el valor se filtra en la forma en que medimos el progreso a lo largo de la seguridad, incluyendo próximos mandatos de cumplimiento de los gobiernos globales.

Ponte en contacto para saber cómo Illumio puede apoyar las principales iniciativas de ciberseguridad de su organización.