Por qué es fundamental alinear al SOC y a la alta dirección en materia de ciberseguridad

Adoptar las soluciones de seguridad de la información adecuadas y contar con un equipo de TI que sepa usarlas eficazmente es fundamental para proteger a su organización de hackers maliciosos y ciberataques. Sin embargo, un conjunto avanzado de herramientas por sí solo no es suficiente, ya que la desconexión entre su SOC y la alta dirección puede obstaculizar gravemente las iniciativas de ciberseguridad.

Por ejemplo, la formación del usuario final es un componente fundamental de cualquier plan integral de seguridad de la información; los empleados deben estar informados sobre temas como la protección de la información confidencial de la empresa en un entorno BYOD o la detección de un ataque de phishing selectivo en un correo electrónico. Los profesionales de la seguridad de la información necesitan la plena aceptación de la organización para que las iniciativas de formación tengan éxito, y todo esto comienza con la aceptación colectiva de la alta dirección para que la confianza y el compromiso se transmitan a todos los niveles. Al fin y al cabo, si el director de operaciones y el director general, por ejemplo, no priorizan la ciberseguridad, es probable que la mayoría de los empleados de base tampoco lo hagan.

Desafortunadamente para los CIO, CISO y otros funcionarios de seguridad de alto rango, existe una brecha cultural entre una SOC El problema con los altos ejecutivos es demasiado común. Por ejemplo, en una encuesta reciente encargada por la contratista de defensa Raytheon a 1006 directores de sistemas de información (CIO), directores de seguridad de la información (CISO) y otros ejecutivos de tecnología, el 78 % afirmó que sus juntas directivas no habían recibido información sobre la estrategia de ciberseguridad de su organización en los últimos 12 meses. Además, solo el 42 % de los encuestados por PwC afirmó que su junta directiva participa activamente en la estrategia general de seguridad, y solo el 25 % afirmó que sus juntas directivas participaban en la revisión de los riesgos para la privacidad de sus organizaciones.

Si tiene dificultades para lograr que los principales ejecutivos de su empresa presten a la ciberseguridad la atención que merece, tal vez sea momento de adoptar un enfoque más agresivo utilizando tácticas como:

• Presentación de datos financieros concretosNada capta la atención colectiva de los ejecutivos como la información fiscal convincente. Así que, la próxima vez que tenga la oportunidad, comparta información convincente, como el hecho de que el coste promedio de una brecha de seguridad para una empresa es de 11,6 millones de dólares, según el director ejecutivo de Intel, Brian Krzanich. Estas cifras impactantes dejan claro que todos en la alta dirección tienen un interés particular en crear una estrategia sólida de seguridad de la información.

• Recibir informes mensuales en el calendario:Insista en una reunión mensual con los ejecutivos de su empresa en la que pueda proporcionar una descripción general de la política de la empresa y presentar información relevante. métricas de seguridad y sugerir posibles ajustes estratégicos. Incluso puede aprovechar este tiempo para debatir noticias del sector y así generar interés. Proporcionar informes de progreso ayuda a mantener a los ejecutivos involucrados en el proceso de seguridad de la información, y esa participación se difundirá al resto de la empresa.

• Proporcionar actualizaciones sobre las últimas tendencias y soluciones de seguridad.Si puede programar las reuniones mencionadas, considere dedicar tiempo a detallar algunas de las tácticas más recientes que utilizan los ciberdelincuentes y las medidas de ciberseguridad disponibles, como la respuesta automatizada a incidentes o la seguridad definida por software, que pueden ayudar a combatirlos. Mantener a la alta dirección informada sobre los últimos avances en seguridad de la información permite a los ejecutivos contribuir de forma más significativa a las discusiones sobre políticas y compras, lo que facilita la vida de un CISO o CIO.

Como cualquier proyecto importante, conseguir la aprobación de la alta dirección en materia de ciberseguridad requiere una inversión inicial considerable de tiempo. Pero, como con cualquier inversión que valga la pena, el resultado final compensa con creces el esfuerzo.