Dado el entorno de amenazas rápidamente cambiante que vivimos, los negocios requieren construir las capacidades de agilidad, adaptabilidad y resiliencia para competir en el mercado. En este contexto, una capacidad se entiende como la combinación de gente, procesos, tecnologías, políticas, prácticas, relaciones con terceras partes y cultura que permiten que la ciberseguridad sea repetible, consistente, medible y demostrable.
Para que la ciberseguridad sea exitosa requiere el involucramiento, patrocinio y toma de responsabilidad de la alta dirección, y que la estrategia, las iniciativas, los mensajes, métricas, etc., estén alineadas al negocio. De acuerdo con lo planteado por el Open Group, los cuatro ejes conductores de la seguridad son: 1) atención a los requerimientos del negocio, 2) soporte a las oportunidades de negocio, 3) enfrentar las amenazas cibernéticas y 4) cumplimiento normativo y legal.
Para lograr la alineación, lo primero que tenemos que hacer es analizar y entender el modelo de negocio de nuestra empresa, partiendo de que un modelo de negocio define la manera en que una organización crea, entrega y captura valor para sus clientes y para sí misma, a través de la comercialización de productos o servicios.
Algunos de los elementos del modelo de negocio que vale la pena analizar con profundidad, para que con base en ello se pueda elaborar y afinar la estrategia de ciberseguridad, son los siguientes:
- Propuesta de valor. La propuesta de valor define qué problemática resuelve y qué necesidad cubre nuestra empresa de forma única o diferenciada. En otras palabras, define por qué el cliente se decide por nuestros productos y servicios en lugar de ir por lo que ofrece la competencia. Entender la propuesta de valor de nuestra organización y cuáles son las estrategias de negocio para lograrla nos debe ayudar a entender cómo la ciberseguridad generará y preservará dicho valor y cómo contribuirá a la consecución de las estrategias establecidas.
- Recursos clave. Los recursos clave tienen que ver con entender qué activos (físicos, intelectuales, humanos, financieros, etc.) son indispensables para hacer realidad la propuesta de valor. Entender cuáles son estos recursos nos dará indicios de los activos de información y de los activos tecnológicos relevantes, es decir, dónde se generan, procesan y almacenan los recursos clave (las joyas de la corona). Finalmente, debería poder definirse cómo la ciberseguridad debe proteger esos recursos.
- Actividades clave. Son aquellas que resultan indispensables para generar y entregar nuestra propuesta de valor a los clientes. Entender cuáles son las actividades clave nos debe dar claridad de cuáles son los procesos centrales que se deben proteger.
- Aliados clave. Los aliados clave son aquellas organizaciones o personas externas que nos ayudan a realizar las actividades clave o a obtener los recursos clave, por lo que debemos entender qué actividades clave realizan los aliados, a qué recursos clave tienen acceso, y qué probabilidad e impacto en los resultados y rendimiento de nuestra organización habría en caso de que un aliado clave tenga una falla derivada de un ciberataque.
A continuación, listo algunas consideraciones importantes que ayudarán a alinear la estrategia de ciberseguridad con el negocio:
- Incluir en los objetivos de negocio aquellos relativos a la ciberseguridad definiendo con claridad qué, quién, cuándo.
- Establecer un marco de trabajo sólido para la gestión de riesgos.
- Las unidades de negocio deberán tomar la responsabilidad de la ciberseguridad y reportar regularmente a la alta dirección el estado del riesgo residual y su relación con los objetivos del negocio, sobre todo aquellos que están fuera de los límites del apetito de riesgo de la organización.
- Elevar y sofisticar el rol del CISO considerando los aspectos tecnológicos y estratégicos de su rol (para mayor detalle ver artículo Magazcitum 9-1 “El CISO en tiempos de la ciberseguridad”). Esto implica mover la conversación centrada en la protección y el cumplimiento, es decir, de carácter técnico, a una conversación centrada en riesgos y gestión, es decir, de carácter estratégico.
- Aplicar las siguientes preguntas como tamiz de la estrategia:
- ¿Cuáles son los objetivos clave de la organización y cómo la falta de ciberseguridad podría impactar su cumplimiento?
- ¿Cuáles son los impactos potenciales a la reputación, costo, ingresos, etc., si algún objetivo de negocio no se cumple parcial o totalmente por consecuencia de la materialización de un ciberriesgo?
- ¿Cómo el área de ciberseguridad puede ser un habilitador de las áreas de negocio?
- ¿Cuáles son las amenazas y vulnerabilidades que generan la mayor exposición?
- ¿En qué medida tenemos las capacidades y prácticas para proteger las estrategias clave y activos críticos de la organización?
Sin duda la alineación de la estrategia de ciberseguridad con el negocio es una actividad fundamental y prioritaria pero, dada la complejidad que representa, se vuelve uno de los principales retos de los CISO (Chief Information Security Officer).
Deja tu comentario