in

3 conclusiones de la Cumbre de gestión de riesgos de Gartner



Tratar la ciberseguridad como una función empresarial fue un tema recurrente en la Cumbre de Gestión de Riesgos y Seguridad de Gartner esta semana.

Los líderes de seguridad centrados en la innovación, las estrategias pioneras y el papel de la seguridad en el apoyo a los esfuerzos de transformación digital se consideran socios comerciales clave para ayudar a la empresa a crear valor, dijo Tina Nunno, vicepresidenta de investigación distinguida y miembro de Gartner. Cuando los oficiales de seguridad desarrollan relaciones de trabajo más estrechas con las partes interesadas de toda la organización, incluidos los ejecutivos y los líderes de la industria, se los considera socios en lugar de proveedores de servicios dentro de la organización.

«Los CISO que frecuentemente se disculpan o explican los incidentes de seguridad probablemente adopten una postura defensiva, lo que a menudo lleva a que la seguridad sea categorizada como un proveedor de servicios», dijo Nunno durante el discurso de apertura de la cumbre.

Ha llegado el momento de trabajar con ejecutivos y miembros de la junta a medida que se centran más en la ciberseguridad. En la Encuesta de gobernanza de la gestión de riesgos y seguridad global de Gartner de 2021, el 57% dijo que el CIO, el director ejecutivo y otras partes interesadas de alto nivel están mejor informados sobre el valor de la gestión de la seguridad y los riesgos. Independientemente, en la Encuesta de la Junta Directiva de Gartner de 2022, el 88% de los miembros de la junta dijeron que ven la ciberseguridad como un riesgo comercial, no como un riesgo tecnológico.

La responsabilidad compartida es clave

A pesar de una mayor conciencia de seguridad, la responsabilidad sigue estando firmemente en manos del grupo de seguridad de la empresa. En la Encuesta de gobernanza de gestión de riesgos y seguridad global de Gartner 2021 a principios de este año, el 85% de las empresas dijeron que el CIO, CISO y sus equivalentes son la persona más importante responsable de la ciberseguridad. Esa responsabilidad debe reequilibrarse a medida que los ejecutivos toman decisiones que afectan la seguridad de la empresa todos los días, y esas decisiones a menudo se toman sin consultar al CIO o CISO, dijo Paul Proctor, respetado vicepresidente de investigación de Gartner.

“La afluencia de ransomware y ataques a la cadena de suministro en el transcurso de 2021, muchos de ellos dirigidos a entornos de misión crítica, debería ser una llamada de atención de que la seguridad es un problema comercial, no solo otro problema que debe resolver la TI”, dice Proktor.

Repitiendo la opinión de que la responsabilidad de mantener la seguridad del negocio debe compartirse entre los gerentes de seguridad y los ejecutivos fuera de TI, Nunno señaló que el trabajo se extiende más allá del equipo de seguridad.

Gartner estima que para 2024, el 60% de los CISO forjarán asociaciones críticas con ejecutivos clave impulsados ​​por el mercado en ventas, finanzas y marketing, en comparación con menos del 20% actual.

Mejor hablar de riesgos

Los líderes de seguridad solo deben identificar los riesgos individuales cuando interactúan con los prospectos comerciales, no los de la industria o los competidores, dijo Jeffrey Wheatman, vicepresidente de asesoría de Gartner. Los agentes de seguridad también deben evitar utilizar demasiada jerga técnica al identificar los riesgos. Los «riesgos relacionados con la tecnología» son una forma eficaz de describir los riesgos que enfrenta la empresa debido a la tecnología y se pueden utilizar cuando se trata de protección de la propiedad intelectual, cumplimiento normativo y resistencia, dijo Wheatman.

También es importante no presentar los riesgos como negativos, p. Ej. B. Pérdida de ingresos o impacto en la experiencia del cliente si no se tiene en cuenta un riesgo. Los riesgos también pueden ser positivos, ya que asumir riesgos y probar nuevas tecnologías puede beneficiar directamente a la empresa.

Otra cosa para recordar es adaptar la comunicación a la audiencia. Muchas partes interesadas de la empresa saben que la ciberseguridad es importante para la empresa, pero no saben por qué o no pueden explicar exactamente por qué, dijo Wheatman. Los planes de seguridad detallados pueden estar demasiado en la maleza para resonar con los líderes empresariales. En su lugar, alinee los detalles con los objetivos y prioridades comerciales. Si la empresa depende en gran medida de la nube, las partes interesadas recibirán mejor la implementación de controles para ayudar a la empresa a lograr sus objetivos, dijo Wheatman.

Está bien si los objetivos comerciales son demasiado «imprecisos y abstractos», dijo Wheatman, ya que les da a los oficiales de seguridad cierta flexibilidad. Es posible que los gerentes de seguridad y riesgos no puedan alinear ciertas tareas de seguridad con los objetivos comerciales, como aumentar las ventas en un porcentaje año tras año, pero pueden hablar sobre cómo sus operaciones pueden mejorar el negocio.

«Pero puedes hablar de ser el mejor, puedes hablar de tu reputación», dijo Wheatman.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El regreso de la botnet Emotet surgió de un ex miembro de Ryuk que ahora es parte de la pandilla Conti

Cómo funciona, cómo puede defenderse – Krebs on Security