Por qué es fundamental gestionar la seguridad de la información como un riesgo empresarial, parte 1: Impacto financiero

Parte I: Impacto financiero directo

Uno de los desafíos más importantes que enfrentan los profesionales de TI hoy en día es una mentalidad de silos persistente que los mantiene separados de iniciativas empresariales cruciales para la organización, como la gestión de riesgos. El problema de los silos es particularmente frecuente en lo que respecta a la seguridad de la información; un estudio reciente de la contratista de defensa Raytheon, realizado a 1006 ejecutivos de tecnología, por ejemplo, reveló que 66 por ciento No creen que los altos líderes de su organización consideren la seguridad informática como una prioridad estratégica.

Pero el problema es multifacético. En algunos casos, los profesionales de seguridad de la información pueden dudar en compartir información y colaborar con otros departamentos por diversas razones, desde la preocupación por las limitaciones de tiempo hasta el temor a la falta de compromiso de los empleados. En esta serie de tres partes, examinaremos por qué es tan crucial que los profesionales de seguridad informática y otras partes interesadas cambien su mentalidad colectiva y comiencen a considerar la gestión de operaciones de seguridad como un riesgo empresarial crucial, en lugar de un problema estrictamente tecnológico.

Conseguir varios departamentos y el Altos ejecutivos Además, trabajar juntos es crucial para desarrollar una estrategia de seguridad integral y eficaz. La colaboración y el intercambio de información entre departamentos facilitan la capacitación del usuario final, y el diálogo continuo entre el SOC y las partes interesadas clave aumenta la probabilidad de que la organización destine recursos financieros a la adopción de medidas eficaces. soluciones de seguridad automatizadas.

Pero la realidad para los CISO y otros miembros del SOC es que, cuando se produce una brecha de seguridad, serán responsables en última instancia. De hecho, la presión sobre los CISO es tan grande que ha dado paso a una tendencia de estos profesionales. abandonando el mundo corporativo Para el proveedor del negocio. Y nada pone a un líder de seguridad en problemas más rápido que un problema de seguridad que le cuesta dinero directamente.

El ejemplo más claro de cómo un incidente de seguridad informática afecta las finanzas de una empresa es el robo descarado. Hasta hace poco, se creía que los bancos y otras instituciones financieras estaban mejor preparados para defenderse de las intrusiones, pero esa ilusión se ha desvanecido. Algunas noticias de alto perfil recientes se han centrado en ciberdelincuentes que roban información confidencial de clientes, pero algunos profesionales de seguridad informática pueden desconocer que los hackers han encontrado formas de... robar directamente millones De bancos que utilizan software malicioso. Los ataques se llevaron a cabo contra más de 100 bancos en 30 países y es prácticamente seguro que muchos CISO y otros profesionales de seguridad de esas instituciones sufrirán, como mínimo, un daño a su reputación y, en el peor de los casos, el despido.

El comercio electrónico es otro ejemplo. A estas alturas, casi todos los que están familiarizados con la seguridad de la información o el comercio electrónico comprenden que una intrusión que provoca la inactividad del sitio web afecta negativamente los ingresos. La sorpresa, especialmente para las grandes empresas, puede ser precisamente... cuánto Se puede perder dinero en poco tiempo. Por ejemplo, Mike Azevedo, director ejecutivo de Clustrix, proveedor de soluciones de bases de datos, afirmó que la inactividad de un sitio web puede costar a las organizaciones de comercio electrónico una cantidad asombrosa. $500,000 por hora. A ese ritmo, incluso una sola filtración de datos podría afectar las cifras trimestrales de una empresa y poner en grave peligro el trabajo de un CISO.

Lamentablemente, las pérdidas financieras directas no son la única forma en que las organizaciones y sus CISO pueden verse perjudicados por los ciberataques. Vuelva la próxima semana para obtener más información. Parte 2 de esta serie en la que examinamos cómo las empresas y los profesionales de seguridad informática pueden ver dañada su reputación cuando se produce una infracción.