Mientras persisten los signos de una recesión mundial, muchas empresas siguen ajustando sus gastos en todos los ámbitos. Aunque la ciberseguridad sigue siendo una preocupación crítica para prácticamente cualquier tipo de organización, incluso los responsables de seguridad pueden tener que vigilar sus gastos y—al mismo tiempo—seguir el ritmo de las últimas amenazas y riesgos.
Es posible que algunos líderes quieran instintivamente agachar la cabeza y pasar por encima de la tormenta, pero los retos de los tiempos que corren ofrecen una oportunidad única para transformar su organización de seguridad. Y la construcción de un programa de seguridad de primera clase comienza con usted. Los mejores CISO aprovecharán esta oportunidad para demostrar su valía como líderes y ofrecer un programa de seguridad global mejor—basado en los riesgos y que responda a las condiciones cambiantes del negocio.
El reto obvio es, que, en una recesión, la mayoría de las empresas se volverán más conservadoras con las inversiones. Incluso las actualizaciones de seguridad más importantes pueden ser objeto de escrutinio. Así que prepárese para hablar con su equipo ejecutivo sobre cómo la seguridad está haciendo su parte. Enmarque las conversaciones en torno a todas las formas en que la seguridad está impulsando de manera mensurable la habilitación del negocio—desde ayudar a obtener ingresos hasta establecer la confianza con los clientes o facilitar la implementación de nuevas herramientas digitales.
Con el fin de demostrar el valor para justificar el presupuesto de seguridad en el futuro, centre los objetivos de su programa en tres áreas principales de impacto: resiliencia, gestión de costos y agilidad del negocio.
Creación de confianza y resiliencia
Aunque los datos históricos muestran que las desaceleraciones económicas traen consigo más ciberataques, sus conversaciones con otros directivos sobre la presupuestación de la seguridad deben centrarse en demostrar el valor en lugar de advertir sobre los riesgos potenciales. Evite el uso de "FUD" (miedo, incertidumbre y duda, en sus siglas en inglés) sobre cosas como el costo de un ataque exitoso de ransomware o las multas por una violación de la normativa. Este tipo de argumentos debilitan las solicitudes presupuestarias.
En su lugar, los CISO deben centrarse en generar confianza con otros ejecutivos mostrando cómo su programa apoya la habilitación del negocio. Deben presentar casos de uso detallados sobre cómo la seguridad repercute en la cuenta de resultados o cómo contribuye directamente a la retención de clientes (como la contratación de un cliente con requisitos normativos estrictos). El uso de mensajes positivos refuerza el hecho, a menudo pasado por alto, de que la seguridad crea su propio valor único y cuantificable—no es sólo otro centro de costos a cargo del equipo de ventas.
Gestión de costos y complejidad
Como cualquier infraestructura tecnológica, la seguridad puede hincharse. La mayoría de las arquitecturas existentes hoy en día se han construido producto por producto y, con el tiempo, se han vuelto excesivamente complejas. La complejidad es enemiga de la seguridad porque puede ocultar vulnerabilidades y crear costosas ineficiencias operativas.
Hay un viejo dicho en seguridad: "Se nos da muy bien comprar nuevos productos, se nos da mal implementarlos, nos olvidamos de optimizarlos y nunca los eliminamos". Aunque muchos departamentos han caído en el hábito de añadir productos, servicios y suscripciones para cubrir nuevas exposiciones y lagunas a medida que aparecen, ahora es el momento de reevaluar si todas estas cosas siguen sirviendo eficazmente para los fines previstos. Los CISO deben aprovechar esta oportunidad para evaluar su arquitectura de seguridad existente y las licencias.
La consolidación puede ayudar a simplificar su infraestructura para mejorar la eficiencia, reducir costos y disminuir la superficie de ataque de la organización. Además, puede ayudarle a maximizar el valor del personal existente. Es probable que no tenga que despedir a nadie, ya que la mayoría de los departamentos de seguridad de hoy en día carecen de personal suficiente. Pero la consolidación de infraestructuras también puede permitir la automatización de tareas más rutinarias—como la gestión de parches. Esto libera a su equipo humano para actividades de mayor impacto, como la búsqueda de amenazas y la gestión activa de riesgos. Saque más partido a su personal sin aumentar la plantilla.
Aumentar la agilidad del negocio
En tiempos de incertidumbre, el cambio es la única constante. Estos cambios pueden incluir el cambio a nuevas herramientas basadas en la nube que ayuden a la empresa a ahorrar en costos de licencias, o los importantes ajustes organizativos que conllevan las fusiones y adquisiciones (M&A). Un programa de seguridad de primera clase es aquel diseñado para permitir una agilidad dinámica en el negocio—manteniendo la organización segura y escalable en todo momento.
Un programa de seguridad ágil y basado en riesgos puede ayudar a las unidades de negocio a responder rápidamente a las demandas del mercado, simplificando al mismo tiempo la experiencia del usuario, garantizando la productividad y reduciendo los gastos generales. Esto podría incluir la adopción sin problemas de las últimas aplicaciones SaaS, la seguridad del trabajo híbrido a escala mediante Zero Trust Networks Access (acceso a la red de basado en confianza cero o ZTNA) o la conexión y protección de las oficinas recién adquiridas con soluciones SD-WAN.
Una oportunidad para transformar la seguridad
Los periodos de dificultades económicas van y vienen. He capeado tormentas similares dirigiendo departamentos de seguridad durante la crisis de las puntocom a principios de la década de 2000 y la crisis financiera de 2008. Para los CISO, esta es una oportunidad para demostrar que usted es un verdadero líder—un miembro igual del equipo ejecutivo que está haciendo su parte para gestionar la situación.
Aunque el valor de la seguridad siempre se basa en evitar todos los daños que conlleva una violación de seguridad (por ejemplo, datos/información personal robados, pérdidas financieras, sanciones legales/reglamentarias, mala publicidad), un programa de seguridad de primera clase es aquel que contribuye con confianza a los objetivos y actividades más amplios de la organización. Centrar sus planes en la resiliencia, la gestión de costos y la agilidad del negocio no sólo le ayudará a crear un programa más eficaz, sino que, en última instancia, también le ayudará a ofrecer una seguridad más efectiva.
Este artículo se publicó originalmente en Security Boulevard.