Asegurar la aceptación de los proyectos de ciberseguridad en las empresas requiere un delicado equilibrio. Si el resto de la alta dirección cree que la empresa ya está segura, el CISO puede tener dificultades para conseguir un presupuesto para los proyectos. Al mismo tiempo, puede resultar difícil comunicar la obtención de financiación para medidas preventivas. En el Congreso de Seguridad ISC2 celebrado en Las Vegas del 12 al 16 de octubre, el fundador y director ejecutivo de Safe-U, Jorge Litvin, compartió estrategias para enmarcar las discusiones sobre seguridad de manera que resuenen con los ejecutivos. ¿Por qué es tan desafiante la comunicación entre la ciberseguridad y la sala de juntas? Sin una comunicación efectiva entre el CISO y el resto de la alta dirección, toda la empresa podría enfrentar consecuencias negativas. La clave para obtener apoyo para los esfuerzos de ciberseguridad es explicar estos riesgos en términos comerciales, afirmó Litvin. No hacerlo puede resultar en una mala asignación de recursos, una falta de respeto por el CISO y una disminución de la moral del equipo debido a recursos insuficientes. Además, es menos probable que las asignaciones presupuestarias satisfagan las necesidades del equipo de ciberseguridad. «Sus expectativas son irreales sobre lo que realmente podemos hacer con lo que tenemos, y lo que tenemos es lo que ellos nos dan», dijo Litvin. Para solucionar este problema, los profesionales de la ciberseguridad deberían hablar en el idioma de los ejecutivos. «Siempre debemos recordar que nuestro principal objetivo no es protegerlo todo», afirmó Litvin. “¿Cuáles son las funciones comerciales centrales que debemos proteger? Centramos nuestra petición en eso”. Los impactos comerciales pueden afectar las operaciones, las finanzas, el cumplimiento o la reputación. Por ejemplo, los actores de amenazas que falsifican cuentas comerciales o cometen fraude en nombre de empresas pueden afectar negativamente la reputación de la empresa. VER: Los proyectos de IA generativa en el Reino Unido tienden a quedarse estancados en la etapa de planificación, siendo la gobernanza de datos un obstáculo importante. Cobertura de seguridad de lectura obligada 5 consejos para una comunicación eficaz Hablar el lenguaje de la alta dirección implica: Comprender la perspectiva del ejecutivo. ¿Qué tan ocupado está el ejecutivo? ¿Qué les preocupa? Comprender el impacto de las amenazas en las operaciones comerciales principales. Encuadre los desafíos de ciberseguridad en términos de cómo impactan la capacidad de la empresa para entregar o fabricar su producto o servicio. Mostrar a los ejecutivos cómo el proyecto de ciberseguridad beneficiará a la empresa. Usar una apertura fuerte (“Esta reunión será exitosa si al final nosotros…”) y una clausura (“Si hay algo que recordar, recuerda esto…”) en las reuniones. Mantener los temas de conversación simples y breves. Además, tener preparada una versión corta en caso de que el ejecutivo finalice la reunión antes de tiempo. «Trate de transmitir cómo su proyecto facilita o mejora el negocio», dijo Litvin. Por ejemplo, es posible que el equipo de ciberseguridad desee implementar una solución SaaS para respaldar a su personal. En ese caso, el líder en ciberseguridad podría presentar la solución a la alta dirección como una forma de respaldar la expansión planificada de la empresa en Europa. Después de todo, la solución demostrará que la empresa está capacitada en protección de datos, un factor para el cumplimiento del RGPD. Es posible que la alta dirección quiera ver si quien toma las decisiones en materia de ciberseguridad ha considerado todas las alternativas antes de presentar un proyecto o servicio. Muestre a la alta dirección diferentes caminos y revele la opción que apoya. Específicamente, el mensaje debe demostrar claramente que la opción que se presenta es la mejor opción para el negocio, no una preferencia personal. Presentar ideas también a otros miembros de la junta directiva. Obtener la aceptación también requiere cierta comunicación interdepartamental. Una comunicación eficaz con la alta dirección significa hablar de dinero en términos concretos. ¿No conoces el ROI esperado de un proyecto de ciberseguridad? “Podemos ir a las áreas financieras [of the business] o una consultoría y decir ‘ayúdenme a hacer los cálculos para presentar esto’”, explicó Litvin. «Ayúdame a entender si esto es lógico o factible o si hay una manera mejor». Compare el impacto financiero del proyecto utilizando números absolutos y relativos, haciendo comparaciones con el estado actual y las ganancias potenciales. Los líderes de ciberseguridad pueden presentar su proyecto a otros miembros de la junta antes de una reunión con el CEO. Hacerlo ayudará a transmitir cómo el proyecto afecta a las diferentes áreas y equipos. Pídales su opinión con preguntas como: «¿Cómo vamos a trabajar juntos para que esto sea un éxito?» Después de estas reuniones, haga un seguimiento con ellos para mantener el impulso. Conocer los marcos comerciales, como el Business Model Canvas, también puede ayudar a los profesionales de la ciberseguridad a identificar los puntos más importantes a abordar en una reunión con ejecutivos. “Pregúntese qué probablemente le preguntarán”, dijo Litvin. Por último, anime a los ejecutivos a involucrarse en los esfuerzos de ciberseguridad que la empresa ya tiene en marcha. Pueden predicar con el ejemplo participando en los ejercicios del Mes de Concientización sobre la Ciberseguridad. Asegúrese de que los gerentes permitan a los empleados ver videos de capacitación en ciberseguridad en lugar de simplemente ordenarles que «vuelvan al trabajo», dijo Litvin. Al final, alinear el equipo de ciberseguridad con objetivos comerciales más amplios solo puede beneficiar a la empresa. Es sólo cuestión de encontrar las palabras adecuadas. Descargo de responsabilidad: ISC2 pagó mi pasaje aéreo, alojamiento y algunas comidas para el evento del Congreso de Seguridad ISC2 que se llevó a cabo del 13 al 16 de octubre en Las Vegas.
