Recientemente hemos encuestado a 2.000 ejecutivos a cargo de la seguridad en grandes empresas a nivel mundial y descubrimos que aproximadamente uno de cada tres intentos de ataque intencionales, tuvo éxito.
Aun así, el 75% de los encuestados “confiaban” en que estaban haciendo lo correcto con relación a sus estrategias de seguridad, y una cantidad similar dijo que la seguridad está “completamente arraigada” en sus culturas y que cuentan con el soporte de los directivos de más alto nivel.
Claramente, existe una desconexión.
Para sobrevivir en este ambiente cada vez más riesgoso es preciso “reiniciar” la cíber-seguridad para adoptar un enfoque completo que reconozca todo el espectro de las posibles amenazas, minimice la exposición e identifique los activos de alta prioridad. Para ello, es necesario llevar a cabo algunas acciones fundamentales.
Para reformular sus percepciones relativas a la cíber-seguridad y desarrollar una nueva definición del éxito, los líderes de negocios deben hacerse varias preguntas fundamentales:
¿Considera que ha identificado y localizado todos los datos prioritarios para su negocio?
¿Puede defender a su empresa de un adversario motivado?
¿Cuenta con las herramientas y técnicas que le permitirán reaccionar y responder ante un ataque intencional?
¿Sabe qué persigue verdaderamente su adversario?
¿Con qué frecuencia “practica” su organización el plan de defensa para mejorar la capacidad de respuesta ante ataques?
¿Cómo afectan estos ataques a su negocio?
¿Cuenta con la alineación, la estructura, los miembros del equipo y otros recursos adecuados para llevar a cabo su misión?
Creemos que las organizaciones dedicadas a la seguridad deben mejorar la alineación de sus estrategias con los imperativos del negocio. Si bien muchas organizaciones están progresando con relación al cumplimiento y la gestión de los riesgos, los programas de seguridad deben continuar mejorando la detección y prevención de escenarios de ataques más avanzados.
Recomendamos considerar seriamente siete dominios clave referidos a la cíber-seguridad con el objetivo de identificar posibles oportunidades para invertir su dinero con mayor efectividad.
ALINEACIÓN CON EL NEGOCIO
Evaluar los escenarios relacionados con los incidentes de seguridad para comprender mejor aquellos que podrían afectar substancialmente al negocio e identificar factores que puedan generar estrategias de remediación y transformación, así como las posibles barreras que podrían obstaculizar su aplicación.
CONTEXTO ESTRATÉGICO DE LAS AMENAZAS
Al anticiparse a futuras amenazas, percibir los riesgos competitivos y geopolíticos y otras áreas para alinear los programas de seguridad con la estrategia de negocios.
EL ECOSISTEMA EXTENDIDO
Estar listo para cooperar durante la gestión de una crisis, desarrollar cláusulas y acuerdos con terceros relativos a la ciberseguridad y focalizarse en el cumplimiento de la normativa regulatoria.
GOBIERNO Y LIDERAZGO
Focalizarse en la responsabilidad final por la seguridad, instaurar una cultura orientada a la seguridad y crear una cadena clara de comando.
CÍBER-RESILIENCIA
Entender el actual contexto de las amenazas cibernéticas, diseñar enfoques para proteger los activos claves y utilizar técnicas de “diseño para lograr resiliencia” que apunten a limitar el impacto de los cíber-ataques.
CAPACIDAD DE RESPUESTA ANTE LOS CÍBER-ATAQUES
Contar con un plan de respuesta fuerte, comunicaciones sólidas en caso de incidencias cibernéticas y la capacidad de asegurar la participación de todos los involucrados en las diferentes funciones.
EFICIENCIA DE LAS INVERSIONES
Entender el aspecto financiero de las inversiones realizadas en los dominios de seguridad, la asignación de fondos y otros recursos.
Mejorar la alineación de las estrategias de cíber-seguridad con los imperativos de negocios y mejorar la capacidad de detectar e impedir ataques más avanzados.
Comprometer a un hacker externo “de sombrero blanco” para simular ataques con el objetivo de establecer una evaluación realista de las capacidades internas de su organización.
Priorizar la protección de los activos claves de la organización y concentrarse en las incursiones internas que potencialmente causen el mayor impacto.
Invertir en programas de última generación que le permitan ser más hábil que sus adversarios en lugar de invertir más en los programas existentes.
El 98% de los cíber-ataques no detectadas por los miembros del equipo de seguridad son descubiertas por los empleados. Priorizar la capacitación para todos los empleados.
Los CISOs deben comprometerse substancialmente con los líderes de la empresa y establecer que la cíber-seguridad es una prioridad importante para proteger el valor de la empresa.
Básicamente, la seguridad es trabajo de todos.
Si bien la cíber-seguridad captó la atención total de las empresas, muchos Chief Information Security Officers (CISOs) siguen sintiéndose excluidos del plano directivo. Esto no es necesariamente un desaire consciente; es más una cuestión referida al nivel de madurez de la organización de seguridad.
Para tener éxito, los CISOs tienen que trascender sus zonas de confort y comprometerse substancialmente con los líderes de la empresa. Deberán hablar el idioma del negocio para exponerles que el equipo de seguridad es un pilar esencial en la batalla para proteger el valor de toda la empresa.
Al mismo tiempo, el CISO debe desarrollar conocimiento tecnológico en el directorio, con el objetivo de convertirlo en una prioridad que tenga la misma relevancia que la evaluación de los riesgos de negocios.
Para lograr una cíber-seguridad efectiva, las empresas deben alcanzar una mayor madurez respecto del rol principal de la organización dedicada a la seguridad: proteger al negocio de pérdidas devastadoras.
Cuando los líderes de una organización comprendan el impacto que un ataque a la seguridad tiene en los resultados del negocio, tendrán una motivación para actuar rápidamente.
Y, a medida que surjan estrategias y nuevas soluciones referidas a la seguridad digital, las organizaciones que vinculen los esfuerzos relacionados con la seguridad con las necesidades reales del negocio tendrán suficiente confianza en su capacidad para enfrentarse a las amenazas constantes e implacables.
El objetivo del estudio “High Performance Security Report 2016” realizado por Accenture fue obtener una visión interna de cómo las empresas enfrentan las cíber-amenazas:
15 PAÍSES |
Alemania, Australia, Brasil, Canadá, Emiratos Árabes Unidos, España, Estados Unidos, Francia, Holanda, Irlanda, Italia, Japón, Noruega, Reino Unido, Singapur
OBJETIVO DE LA ENCUESTA |
Entender en qué medida las empresas priorizan la seguridad, cuán completos son los planes de seguridad, cuán resilientes son las empresas con respecto a la seguridad y el nivel de gasto en seguridad.
12 INDUSTRIAS |
Banca, mercado de capitales, comunicaciones, energía (petróleo y gas), salud (financiadores y prestadores), alta tecnología, ciencias de la vida, productos, equipamiento industria, retail, servicios públicos, seguros.
MEDIDAS DE LA ENCUESTA |
La capacidad relacionada con la cíber-seguridad en 7 dominios: alineación con el negocio, contexto estratégico de las amenazas, el ecosistema extendido, gobierno y liderazgo, cíber-resiliencia, capacidad de respuesta ante los cíber-ataques y eficiencia de las inversiones.
LOS ENCUESTADOS INCLUYEN |
• | Ejecutivos de negocios, TI y seguridad con niveles de director y superiores |
• | 2.000 ejecutivos |