BUSINESS BYTES

¿Cómo pueden los directores de tecnología encontrar el equilibrio entre reducir la seguridad y aceptar los riesgos?

  • Publicado hace 1 año
  • 3 min de lectura

Según el informe sobre las prioridades de los directores de tecnología elaborado por Gartner (Gartner CIO Agenda Report), están cambiando las prioridades de inversión de los directores de tecnología. La seguridad ha estado perdiendo importancia recientemente en la lista de las principales prioridades en favor de la analítica, inteligencia empresarial, infraestructura móvil y en la nube. A primera vista esto es comprensible: es mucho más lógico para las empresas invertir en áreas que les proporcionen un rendimiento alto o inmediato. La seguridad de la información nunca ha sido una de estas áreas. Gastar más dinero en técnicas de protección tradicionales como cortafuegos, herramientas de seguridad para el correo electrónico y dispositivos de filtrado de sitios web, hacen que sea demasiado fácil ver la seguridad como una inversión preventiva en vez de un beneficio tangible.
Sin embargo, este no tiene por qué ser un mal enfoque contra las amenazas cibernéticas. Tal y como muestran los datos de Gartner, muchos directores de tecnología ya reconocen que un enfoque más sutil respecto a la seguridad podría ser una forma más eficaz de gestionar los riesgos a largo plazo. En la práctica, este enfoque comienza con una mejor comprensión de los riesgos a la seguridad cibernética y lo que estos podrían suponer para una empresa. 


Los profesionales de la seguridad deberían verse a sí mismos como impulsores de la empresa, estar presentes desde el comienzo y tener como finalidad proteger los activos más importantes antes y después de las violaciones de seguridad. No obstante, los riesgos a la seguridad de la información deberían verse como un riesgo manejable y no como un problema mayor que otras formas de riesgo empresarial. Es decir, la gestión de los riesgos a la seguridad requiere la aceptación de que habrá ciertos riesgos que persistirán siempre y que se producirán algunas violaciones de seguridad, por lo tanto, las empresas deben tener una estrategia definida para gestionarlas cuando se produzcan. En vez de centrarse en la reducción de amenazas, muchos directores de tecnología hoy en día se están centrando en la información sobre las amenazas.


El primer paso para gestionar los riesgos es comprenderlos. Por lo tanto, el primer paso para una gestión de riesgos eficaz es identificar los riesgos inmediatos para su empresa e informar al consejo de administración y a los directivos superiores sobre qué son y lo que podrían suponer. La gestión eficaz de los riesgos es responsabilidad de todos. El acceso a los datos no autorizado puede provocar un daño económico y a la reputación enorme y los directivos y empleados de la línea de negocio deben entender el coste que podría conllevar y los pasos que dar en caso de que se produzca una filtración de datos. Algunas empresas utilizan la simulación de incidentes o crisis para ayudarles con esto. Estas iniciativas no solo exponen los puntos débiles, sino que también hacen que los equipos se sientan más seguros y mejor preparados en caso de que se produzcan las violaciones de seguridad.


El segundo paso consiste en comprender que la gestión de riesgos no se detiene solo porque tenga acordada una forma de respuesta. Al igual que evolucionan las amenazas cibernéticas, también lo deberían hacer la gobernanza y las políticas vinculadas a estas. Aunque sea un directivo de primera línea el que debe liderar los intentos de modificar la estrategia de gestión de los riesgos, todos los empleados deberían aportar sugerencias y ayudar a la empresa a crear los mejores mecanismos para gestionarla. Recuerde que la estrategia empresarial global puede cambiar rápidamente. El crecimiento en mercados nuevos puede dar lugar a nuevos riesgos económicos y de información. El uso de las tecnologías digitales, como las redes sociales y la nube, también pueden tener repercusiones. Su estrategia de gestión de riesgos debe aumentar con el deseo de crecimiento de su empresa.
Por último, tenga en cuenta el hecho de que la preocupación por la exposición a los riesgos puede ser muy diferente en las distintas unidades de negocio. Por este motivo, las políticas de seguridad tienen que permitir la aceptación de un cierto nivel de riesgo para mantener la cohesión entre la organización. Las violaciones de la seguridad se pueden producir y se producen y, tan importante como prevenirlas es tener un proceso acordado para abordarlas cuando se produzcan que se base en la comprensión de lo que suponen.  La gestión de los riesgos debería formar parte de un programa holístico para evaluar el entusiasmo por el riesgo, aplicar los principios de gestión de los riesgos y, por último, enseñar a la empresa que el hecho de que un riesgo se haga realidad no supone un fracaso sino la validación de un proceso acordado.