Sabemos que hoy en día, las organizaciones enfrentan desafíos sin precedentes cuando se trata de identificar, priorizar y mitigar riesgos. En este contexto, el líder de seguridad toma cada vez más protagonismo en las decisiones de negocio de las empresas. Con la finalidad de alinearse mejor a la misión de la organización y con los líderes del negocio, los equipos de Seguridad de Información (InfoSec) ahora deben tomar decisiones a través de múltiples niveles para poder identificar y mitigar el riesgo en toda la organización.


Asimismo los profesionales de seguridad ya no son una función aislada dentro del departamento de TI, hoy deben ser expertos en gestión de riesgo debido al gran incremento de filtraciones de datos que están originando costos masivos a causa de dicha problemática, ataques de ransomware, pérdida de productividad o robo de propiedad intelectual. Tan solo en 2020, se robaron más de 22,000 millones de registros en 730 eventos públicos de filtración de datos. Además, más del 35% de las filtraciones está vinculado a ataques de ransomware, que, a menudo, suponen un costo financiero muy elevado.


En la medida en que la superficie de ataque se expande y se hace más compleja cada día, es imprescindible que los equipos de seguridad tengan un abordaje contemporáneo para identificar la ubicación y criticidad de las amenazas que permita ayudar en estrategias de mitigación a nivel ejecutivo, estratégico y táctico. Independientemente de que se trate de un equipo global con decenas de personas o un único director de seguridad, el desafío será mejorar la toma de decisiones en cada nivel y así aumentar la eficacia de los programas de ciberseguridad.


De acuerdo con el informe de Tenable Tres niveles de Estrategia de Seguridad para decisiones de negocio sobre el riesgo la gestión de riesgo exige diferentes roles para los profesionales de seguridad según el nivel del negocio:


Decisiones a nivel ejecutivo. Los líderes de seguridad deberán transmitir a los ejecutivos de la compañía, información y métricas sobre la seguridad de la organización y la postura de riesgo de una
forma sencilla y rápida de comprender.

Esto no es razonable esperar que un ejecutivo no técnico comprenda si 100,000 vulnerabilidades en el entorno son buenas o malas o que tipos de intentos de ataque se bloquearon o qué parches se instalaron.

La falta de contexto hace que estos números sin procesar carezcan de mucho sentido para las decisiones de negocios. En cambio, los líderes de seguridad deben enfocarse en ofrecer métricas basadas en el tiempo, de tendencias o de porcentajes que ofrezcan a los ejecutivos una forma rápida de comprender cómo contribuye el programa de seguridad a las metas generales del negocio.


Decisiones a nivel estratégico. A medida que avanzan en el organigrama dentro del equipo de seguridad, los tomadores de decisiones de nivel estratégico (comúnmente directores, líderes de equipo u otros gerentes de nivel medio) deben apoyar a los equipos de nivel ejecutivo para hacer mejores decisiones para la dirección general del negocio y, al mismo tiempo, ayudar a los equipos de nivel táctico a ser más eficientes y efectivos en sus esfuerzos de remediación para reducir el riesgo.


Un componente clave de este nivel de toma de decisiones es validar que un proceso sea efectivo, eficiente y que aumente la capacidad de la organización de reducir el riesgo y hacer madurar el programa en general.

Existen tres áreas clave que mejoran la eficacia con el nivel estratégico de toma de decisiones:

1) Comprender la criticidad de los activos;

2) Priorizar amenazas y vulnerabilidades

3) Comprender la tendencia de la reducción de riesgos a lo largo de las unidades de negocio.


Con lo anterior será posible identificar puntos ciegos y tomar medidas para hacer madurar estos procesos y proporcionar datos más completos y de calidad con el fin de seguir ejecutando una toma de decisiones a nivel estratégico más efectiva.


Decisiones a nivel táctico. Según factores como la estructura organizativa, el tamaño del equipo de seguridad y cómo haya segmentado el negocio las responsabilidades entre el área de seguridad, TI y operaciones, es posible que el equipo de seguridad no esté involucrado activamente en los procesos tácticos diarios de los esfuerzos de corrección activos. Cualquiera sea el caso, la ejecución de tareas de corrección de forma eficiente y efectiva es crítica para reducir riesgos en la organización. El equipo de seguridad cumple un rol activo en convertir los hallazgos de seguridad en pasos recomendados específicos que permitan una ejecución operativa exitosa.


Por último, Tenable insistió en que los líderes de seguridad deben adoptar iniciativas más dinámicas sobre cómo ejecutan los diferentes niveles de toma de decisiones a fin de comprender mejor las áreas críticas de una organización, asignar correctamente los recursos para salvaguardar esas funciones y capacitar a los equipos en las trincheras con el propósito de asegurar y proteger a los usuarios, los clientes, los datos y todos los demás activos dentro del entorno.

Por Liliana Sandoval Galindo

Lic. en Trabajo Social por parte del Instituto Mexicano de Psicooncología (IMPo), Periodista de Oficio. Gerente de Operaciones en Visor Empresarial.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *