La Inversión en Ciberseguridad: Parte 1 – El Camino

La Inversión en Ciberseguridad: Parte 1 – El Camino

Últimamente he tenido la suerte de conocer a varios C-Level de organizaciones privadas. Una constante en estas conversaciones han sido las cuestiones sobre temas de inversiones en ciberseguridad. Por lo mismo abro una serie de artículos para ir barriendo los aspectos principales.

La inversión en ciberseguridad trae consigo muchos beneficios para cualquier organización, tales como:

  • Protección de la reputación organizacional
  • Ventaja competitiva
  • Eficiencia operativa
  • Cumplimiento normativo y mitigación de multas y sanciones
  • Toma de decisiones informada y asignación eficiente de recursos
  • Liderazgo y cultura organizacional
  • Enfoque en el negocio
  • Reducción de estrés
  • Otros

Estos beneficios deben ser claros y palpables para los líderes de la organización, de lo contrario perderían sentido para la Alta Dirección a mediano plazo y generarían la duda constante sobre la gestión del CISO. Esto a su vez podría representarse (negativamente) en recortes presupuestales de ciberseguridad y peor aún, en el deterioro de ciber capacidades para prevenir o controlar incidentes, sanciones, multas y otros.

La vía proactiva

La inversión en ciberseguridad empieza por la adecuada capacitación y concientización de los ciber riesgos para la plana gerencial y directores en un lenguaje de negocio y de alto nivel.

Esta es una de las tareas principales del CISO, ya sea con apoyo de terceros o con sus propias habilidades de comunicación, el valor radica en qué tan bien los líderes reciben y cultivan este conocimiento. Y, para que el CISO logre llegar a las esferas máximas donde se definen las grandes inversiones, es necesario la organización tenga como base un gobierno, formalizado o no formalizado, las relaciones deben estar lo suficientemente construidas para que la llegada del CISO se de en un entorno de confianza y de co-creación.

En la actualidad, muchos directores y gerentes tienen un respetable nivel de entendimiento de la ciberseguridad, gracias a esfuerzos de programas de dirección y entidades de postgrado, medios de comunicación, entidades internacionales, socios estratégicos, asociaciones y sobre todo su propio compromiso de estar bien informados. No es extraño escuchar que una de las principales preocupaciones del board son las ciber amenazas. La ciberseguridad se vuelve un impulsor de las tecnologías que soportan el negocio.

El CFO es clave para lograr se encamine la inversión. Mientras más alineado esté el CFO con la estrategia de ciberseguridad mejor será su proyección para validar el aporte al negocio y así conseguir los presupuestos necesarios. Algunas veces será quien haga aterrizar las expectativas del CISO, por ejemplo, al proponer la integración de tecnologías de seguridad.

La vía reactiva

Otra vía para iniciar el camino de la inversión en ciberseguridad es una postura reactiva, donde (gracias) a raíz de un incidente se toma la conciencia necesaria para gatillar la inversión. Este escenario es muy popular en empresas que no apuestan por la gestión de riesgos, empresas que se van subiendo tarde a las olas de tendencias tecnológicas y de líderes poco informados. También hay escenarios donde la lectura de incidentes en el rubro o sector hace que las empresas de este grupo tomen conciencia, con mayor énfasis en empresas que compiten y que comparten áreas geográficas o de grupo de clientes.

Otra de las vías reactivas para iniciar o mejorar la inversión es gracias a los esfuerzos del gobierno (leyes y reglamentos), de industrias en específico (como PCI) y de los reguladores. Por ejemplo, una mejora en los esquemas de exigencia de ciberseguridad por parte de los reguladores gatilla una obligación necesaria en las empresas reguladas, el sector financiero es un referente al respecto.

Por último, otra forma de gatillar la inversión es la presión de los propios clientes cuando se trata de negocios B2B. La empresa cliente exige a sus proveedores que brinden los estándares y niveles de ciberseguridad necesarios para operar con confianza la información de su negocio. Ya sea, porque a su vez la empresa cliente es empujada por cumplimiento normativo o porque simplemente el cliente es consciente del nivel de ciber riesgo expuesto. En la actualidad, la gestión de ciber riesgos de terceros y de la cadena de custodia está tomando bastante fuerza por las tendencias de ataques donde un solo punto vulnerado puede afectar a miles de empresas.

Conclusión

Se recomienda impulsar un esquema de inversión preventivo. De trasfondo tiene un mejor nivel de conciencia y de entendimiento de los ciber riesgos (que una postura reactiva), lo cual a su vez facilita la interacción entre el CISO y los líderes del negocio. Llega temprano a las necesidades de clientes y principales interesados, puede ganar oportunidades de negocio, evitar sanciones, evitar multas y reforzar a tiempo las ciber capacidades con el objetivo de evitar incidentes. Es decir, el retorno de la inversión será mucho más rentable y en menor tiempo.

En este esquema es clave:

  • La relación abierta, de confianza y constante con los líderes del negocio
  • La capacitación sostenida a los líderes
  • CFO como aliado estratégico para la inversión de ciberseguridad
  • El entendimiento del negocio y de las necesidades de los principales interesados

La inversión en ciberseguridad es mucho más que un número. Es una estrategia que debe plantearse cuidadosamente, un camino que se traza y se recorre junto a los líderes para lograr y mantener el éxito de los objetivos de la organización.

Los invito a compartir sus comentarios. En próximos artículos seguiré profundizando sobre el tema.

¡Saludos estrategas!

Javier Córdova

Inicia sesión para ver o añadir un comentario.

Otros usuarios han visto

Ver temas