Existen organizaciones que han realizado grandes inversiones en ciberseguridad, tanto en herramientas como en personal; sin embargo, derivado del impacto económico de la pandemia de COVID-19, el impulso para reducir esos costos es persistente. En ese sentido, el costo de la seguridad se ha convertido en un aspecto tan importante como la seguridad misma.
Descargue la publicación Temas clave de ciberseguridad en la nueva realidad
En un esfuerzo por gestionar los costos y garantizar que las prioridades del negocio y de seguridad estén alineadas, las compañías están automatizando su funcionalidad cibernética mediante procesos de gestión de riesgos digitalizados, para garantizar que se escalen a las estrategias operativas y comerciales.
Al revisar diversos modelos de riesgo, encontramos que falta el concepto de escenarios de riesgo orientados a la empresa. Ciertamente, la contingencia ha revelado una desconexión significativa entre la percepción sobre el valor de la tecnología y los riesgos cibernéticos que conlleva su adopción. El punto de vista de la organización debe ir de la mano con el del equipo de Ciberseguridad, y ese no es el caso en muchos negocios.
El proceso sería mucho más efectivo si se informara a la Alta Dirección mediante un modelo que permitiera comprender mejor el impacto de los controles de seguridad en esas situaciones de riesgo. Muchas organizaciones no obtienen esa perspectiva de manera consistente, lo que dificulta establecer una relación continua y fluida entre los controles y la empresa.
¿Qué se debe hacer al respecto?
Es fundamental decidir holísticamente en qué invertir, qué situaciones de riesgo deben considerarse y qué controles son los más relevantes.
Actualmente, se está entendiendo la necesidad de acelerar cualquier plan de transformación digital contemplado previamente a la contingencia. Esto sugiere que también es esencial explorar la automatización de procesos de gestión cibernética y de riesgos.
Muchos incidentes serían bastante fáciles de detectar si las políticas y los controles de seguridad estuvieran incorporados en la organización. Es recomendable que las empresas integren la ciberseguridad en las líneas de defensa, en lugar de operar en silos, así como aprovechar la inteligencia sobre amenazas de múltiples funciones, como fraude y delito financiero, e integrar manuales de estrategias y herramientas para responder rápidamente al cambiante panorama.
La seguridad debe ser una prioridad integral. La acción fundamental es establecer un diálogo continuo entre la organización de seguridad y el resto de la empresa para garantizar que la seguridad esté sincronizada en términos de planificación estratégica y operativa.
Para tal fin, es importante implementar enfoques de ingeniería, como el diseño seguro y privado, que tengan como objetivo introducir la seguridad en la mentalidad diaria del equipo de Development Operations (DevOps) a medida que elaboran nuevas aplicaciones y servicios.
En última instancia, se espera ver a los profesionales de Ciberseguridad alejarse de ser percibidos como una función impulsada por TI. Como tal, el equipo cibernético debe estar dirigido por la empresa y conocerla. De lo contrario, ese apretón de manos simbiótico entre la compañía y el cibernético nunca se fortalecerá.
