La ciberseguridad se ha convertido en un tema prioritario para las organizaciones, que ven en el riesgo cibernético una amenaza para su estrategia y su reputación.
De hecho, un amigo que es el área de Ciberseguridad fue a un evento de CFOs y quedó sorprendido de la atención que le están dando los jefes de finanzas a la ciberseguridad.
Ahora que he tenido la oportunidad de interactuar con muchos profesionales de la seguridad, me he fijado que algunos responsables de ciberseguridad aún no tienen claro cómo gestionar adecuadamente este riesgo y evitar los errores más comunes que pueden comprometer la seguridad de sus sistemas e información.
En este artículo te presento cinco de estos errores y cómo puedes evitarlos:
Falta de alineación entre la seguridad y el negocio
Uno de los errores más frecuentes es no vincular las operaciones de seguridad con los objetivos y las necesidades del negocio. Muchos CISOs se centran en medir las exposiciones técnicas y no los impactos para el negocio. Se obsesionan con las herramientas y el conteo de vulnerabilidades, pero no son capaces de comunicar el riesgo cibernético en términos que el negocio entienda y valore. Los CISOs deben asociar el riesgo a los aspectos que le importan al negocio, como la continuidad, la rentabilidad, la competitividad o la confianza de los clientes. Además, deben consensuar con el negocio las definiciones de riesgo y los niveles de riesgo aceptables, para que ambos tengan la misma visión y expectativas.
Falta de sentido de responsabilidad compartida
Otro error es asumir que la gestión del riesgo cibernético es una tarea exclusiva del CISO y su equipo. Los CISOs no son los dueños de los sistemas ni de las funciones de negocio que soportan, ni tienen la autoridad para decidir unilateralmente el nivel de riesgo que la organización está dispuesta a asumir. Por eso, deben involucrar a otros líderes de la organización en la toma de decisiones sobre el riesgo cibernético, presentándolo como un riesgo empresarial y facilitando que sean parte de la solución.
Falta de priorización y optimización de recursos
Un tercer error es tratar todas las vulnerabilidades por igual y no priorizar las más críticas o las más explotables por los adversarios. Esto puede llevar a malgastar recursos en parchear vulnerabilidades que no representan una amenaza real o a dejar expuestas vulnerabilidades que sí lo son. Los CISOs deben contar con herramientas e indicadores que les permitan identificar y clasificar las vulnerabilidades según su severidad, su probabilidad y su impacto potencial, así como según el contexto del negocio y el entorno de amenazas. De esta forma, podrán asignar los recursos disponibles de forma más eficiente y efectiva.
Falta de automatización e integración
Un cuarto error es depender demasiado de procesos manuales y aislados para detectar, evaluar y remediar las vulnerabilidades. Esto puede provocar retrasos, inconsistencias y errores humanos que afecten a la calidad y la velocidad de la gestión del riesgo cibernético. Los CISOs deben aprovechar las ventajas de la automatización y la integración para agilizar y simplificar estos procesos, reduciendo el esfuerzo manual y aumentando la precisión y la consistencia. Por ejemplo, pueden utilizar herramientas que escaneen automáticamente los sistemas en busca de vulnerabilidades, que se integren con las plataformas de gestión de tickets o que apliquen parches automáticamente según unas reglas predefinidas.
Falta de seguimiento y mejora continua
Un quinto error es no medir ni revisar periódicamente el desempeño y la madurez del programa de gestión del riesgo cibernético. Esto puede impedir detectar oportunidades de mejora o adaptarse a los cambios en el negocio o en el entorno de amenazas. Los CISOs deben establecer unos objetivos claros y unos indicadores relevantes para evaluar el nivel de exposición al riesgo cibernético, la eficacia de las medidas implementadas y el grado de cumplimiento con las políticas y los estándares establecidos. Asimismo, deben realizar auditorías internas o externas para verificar el estado del programa y aplicar acciones correctivas o preventivas cuando sea necesario.
¿Qué otro error se te ocurre?
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
