Carlos Vieira, country manager de WatchGuard Iberia y PALOPs

La seguridad es importante, pero los equipos directivos tienen que equilibrar muchas piezas en movimiento: iniciativas de negocio competitivas, planes de crecimiento y gastos. Un buen equipo directivo no esperará a que su consejo de administración le comunique lo que debe priorizar, pero el hecho de que las juntas aún no participen plenamente en este tema no ayuda nada. Según la encuesta realizada por PwC en 2015, “Estado de Seguridad”, a pesar de la lluvia de noticias sobre brechas e infracciones de seguridad de alto nivel, menos de la mitad de los encuestados (42%) reconoció que su consejo de dirección participaba activamente en la estrategia global de seguridad, y sólo el 36% dijo que su consejo se involucraba en las políticas de seguridad.

Siempre tratamos de configurar la mejor defensa posible, pero ahora se necesita dinero, herramientas y apoyo. A continuación presentamos 6 consejos para fomentar la participación y la inversión en seguridad TI por parte de los equipos directivos.

  1. Entender el negocio: la alta dirección confiará en todas las personas que entiendan los objetivos de la organización a corto, medio y largo plazo. Se debe tener en cuenta que lo más probable es que se tengan que afrontar las cosas de manera diferente si la empresa cuenta con un plan para trasladar la mayor parte del negocio online o si, por ejemplo, comienza a aceptar tarjetas de crédito para realizar pagos. Conversar con los directores de departamentos para averiguar qué recursos de red requieren para cumplir con              los objetivos; o también para saber qué fallos serían los más perjudiciales desde el punto de vista de la reputación, ayuda. Al terminar este paso, tendremos una idea de cuáles son las áreas de exposición de ciberseguridad que deseamos abordar y qué activos son importantes para mantener el negocio en funcionamiento.

  2. Utilizar un tercero independiente: una vez identificados los tipos de riesgo a los que se enfrenta la compañía y si los sistemas críticos están en peligro, habrá que realizar una auditoría de seguridad independiente para verificar las opiniones. El objetivo es confirmar exposiciones e identificar con mayor detalle las áreas de vulnerabilidad. Si utilizar servicios de terceros para hacerlo resulta demasiado caro, las herramientas de análisis de seguridad de código abierto y alta calidad que podemos utilizar están disponibles online. Esto, para un ejecutivo, no es tan tranquilizador como si un experto realizase la auditoría de forma independiente, pero es mejor que nada.

  3. Encontrar la manera de solucionar los problemas: ahora que ya se han verificado a fondo y de manera independiente dónde están los problemas, el siguiente paso es determinar cuál es el remedio. Y ahora es cuando empieza el momento de la verdad. Algunos problemas son más difíciles y más caros de resolver que otros,  por lo que puede que se necesiten expertos que ayuden en este proceso.

  4. Priorizar basándose en la probabilidad y magnitud: ¿cuáles serían los mayores costes (costes directos como la contratación de expertos en seguridad, litigios o pérdidas de ingresos) y los menores (como la reputación o el tiempo dedicado por el personal interno) si los sistemas críticos fueran hackeados? Este es el lenguaje que la alta dirección comprende: tiempo y dinero. Valorar estos costes ante la probabilidad de que algo malo vaya a pasar. Seguramente se querrá hacer frente al alto impacto y a las zonas de mayor probabilidad; esto puede parecer obvio, pero se sorprenderá con la frecuencia con que esto no pasa.

  5. Presentación a la dirección: llegados a este punto ya contamos con un plan y deseamos tener la aprobación para seguir adelante. Cuando se presentan riesgos, debe hacerse en términos específicos para el negocio e identificar claramente la potencial pérdida y la probabilidad de que algo pudiera suceder. Debe evitarse la jerga y no ser demasiado técnicos. Si se ejecutan todos estos pasos, es probable que obtengamos el apoyo que necesitamos de la organización en ciberseguridad. Si no se tiene éxito, hay que seguir intentándolo y asegurarse de documentar la conversación que tuvo con el responsable de tomar las decisiones.

  6. Mantenerse al día: Ya se ha hecho todo el trabajo duro, se ha realizado una presentación sólida, y (con suerte) asegurado el presupuesto para implantar un sistema de seguridad dinámico y moderno que resuelva nuestras principales preocupaciones. Pero el trabajo no ha terminado, pues es importante mantener los informes de auditoría de seguridad actualizados, de este modo estaremos preparados para facilitar actualizaciones sobre el progreso cuando nos pregunten. Podemos ejecutar también periódicamente herramientas gratuitas y seguir los pasos 3 a 5 de manera regular.

Los hackers conocen las empresas, especialmente las pequeñas y medianas compañías, la lucha de costes y la complejidad de asegurar adecuadamente las redes, convirtiéndolas en objetivos principales. Las organizaciones necesitan ser proactivas y no esperar a actuar sólo ante un ataque cibernético. Los profesionales de la seguridad TI tienen la responsabilidad de mantener al día a la alta dirección del estado actual de la seguridad, explicar los riesgos utilizando términos de impacto empresarial, y tomar medidas lo antes posible.