Seguridad cibernética: todavía hay problemas en la parte superior

Solo un cambio cultural en la sala de juntas puede mover la aguja

La encuesta publicada por BT Security en enero de 2021 («CISO bajo la mira») es interesante, aunque solo sea por el tamaño de la población encuestada (más de 7.000 personas) y su triple enfoque en consumidores, empleados y líderes empresariales.

Pero sus hallazgos son problemáticos, en particular en lo que revelan sobre la actitud de los altos ejecutivos hacia la seguridad cibernética y la persistencia de algunos problemas en la cima.

Comienza bien, con algunas estadísticas ampliamente consistentes con otras encuestas y evidencia de campo anecdótica: el 58% dice que mejorar la seguridad de los datos y la red se ha vuelto más importante para su organización en el último año, y el 76% califica a sus organizaciones como «buenas» o » excelente ”para protegerse de las amenazas cibernéticas.

Pero estas estadísticas son difíciles de conciliar con otras del informe: en la página 7, la mención de que «menos de un tercio de los líderes empresariales califican como excelentes los componentes clave de la seguridad de TI de su empresa» y que, en general, tienen «poca confianza en la capacidad de la organización para cumplir con los fundamentos ”; Además, en la página 13, la declaración de que «menos de la mitad de los ejecutivos y empleados pueden poner un nombre a su CISO»

Sin un acceso más completo al conjunto de datos subyacente, es difícil sacar conclusiones sólidas, más allá del hecho de que claramente persiste una cantidad de confusión con los líderes empresariales en torno a la ciberseguridad: ¿Cómo se puede decir que la seguridad se está volviendo más importante y que su organización está bien? protegido, y al mismo tiempo, ser incapaz de nombrar a su CISO ??? ¿Y qué nos dice eso sobre el perfil de los CISO en esas organizaciones ???

Otro aspecto, típico de esas encuestas, es el énfasis en hacer bien los conceptos básicos de seguridad y la importancia del desarrollo de la conciencia de los empleados.

Para mover realmente la aguja en esos asuntos, debe ir más allá de lo obvio y comenzar a enfrentar los problemas subyacentes reales. Esto es algo sobre lo que ya comentamos el año pasado, en relación a varios informes del Foro Económico Mundial.

Por supuesto, entender bien los conceptos básicos y capacitar a los empleados son pilares esenciales de cualquier práctica de seguridad cibernética, pero la pregunta real sigue siendo: ¿Por qué seguimos aquí insistiendo?

Las buenas prácticas de seguridad cibernética como las mencionadas en la encuesta de BT (parches, gestión de acceso, etc.) se han considerado buenas prácticas durante la mayor parte de las últimas dos décadas, y grandes organizaciones que, en conjunto, habrían gastado decenas o cientos de millones en ciberseguridad durante ese período, no debería estar en tan mal estado. Período.

Las causas subyacentes de ese fracaso tienen su origen en la priorización adversa por parte de las empresas, el cortoplacismo y la política interna. Todos los factores apuntan firmemente hacia problemas de cultura y gobernanza en la cima.

Hasta que encuestas como esta, o las del WEF que comentamos el año pasado, comiencen a abordar esos problemas, no habrá mucho que se mueva para bien en torno a la seguridad cibernética.

Lo mismo, en términos generales, puede decirse del desarrollo de la conciencia de seguridad. Por supuesto, es esencial … pero el «firewall humano» tiene que comenzar en la parte superior de la organización.

¿Cómo se puede esperar que el personal siga las buenas prácticas y acepte las restricciones de seguridad, si ven que los altos ejecutivos constantemente se les permite saltarse las reglas?

Hay tanto que un CISO y su organización pueden impulsar horizontalmente a través de la empresa o de abajo hacia arriba, y sin un respaldo claro e inequívoco desde arriba, el mejor programa de concientización sobre seguridad cibernética puede convertirse rápidamente en un costoso ejercicio de verificación de casillas … El ejemplo debe vienen constantemente desde arriba, para que cualquier programa de concientización sobre seguridad se mantenga y produzca resultados.

Entonces, los CISO están de hecho «bajo los reflectores», pero ¿pueden realmente «impulsar el reinicio» inducido por la «velocidad y escala de la transformación digital desencadenada por la pandemia global»? (página 13)

En el estado actual de las cosas, probablemente no.

La actitud que los altos ejecutivos han tenido hacia la seguridad en la mayoría de las organizaciones durante las últimas dos décadas ha llevado a un cierto tipo de personas hacia los roles de CISO. La mayoría son tecnólogos, consultores o auditores por experiencia; muy pocos provienen de verdaderos roles comerciales.

Entonces, antes de que el CISO pueda “impulsar el reinicio”, es el rol en sí el que necesita un reinicio. “Las empresas necesitan urgentemente elevar el liderazgo en ciberseguridad” (página 13): En ese punto, la encuesta de BT da en el clavo. Pero es más facil decir que hacer.

Una vez más, esto es algo que tiene que venir desde arriba y puede requerir una ampliación de la cartera de CISO tradicional hacia la continuidad y la privacidad, construyendo efectivamente el rol en un rol elevado de OSC capaz de llegar a toda la organización.

Dicho cambio, apoyado a nivel de la Junta y junto con paquetes de compensación adecuados y perfiles profesionales, debería atraer a un tipo diferente de ejecutivo e impulsaría el cambio. Este es el tipo de movimiento que hemos estado defendiendo desde 2018 para abordar los desafíos de la transformación digital y las crecientes demandas de cumplimiento de la privacidad que vinieron con GDPR.

Pero volviendo a la encuesta de BT, para solucionar todo esto y hacer que la seguridad cibernética se mueva para siempre, debe abordar el problema a nivel de Junta, no a nivel de CISO.

Es solo un cambio cultural en la sala de juntas lo que moverá la aguja.

Publicado originalmente aquí.