peshkova - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Alinear los objetivos de negocios y de seguridad, clave para la eficiencia de un CISO

En el entorno actual, es vital que los directores de seguridad estén alineados con los objetivos de negocios para tener éxito. De lo contrario, la estrategia de seguridad no estará completa.

Muchos programas de seguridad no están alineados con el negocio. De hecho, solo el 16% de los directores de seguridad de la información (CISO) cuentan con formación comercial, de acuerdo con el informe “El rol evolutivo de los CISOs y su importancia para el negocio”, de Ponemon y F5 Networks.

Si la seguridad no está alineada con los objetivos comerciales de la organización, ¿existe el programa de seguridad en sí mismo? Si es el caso, ¿cuánta potencia obtendría un programa de seguridad?

Comprendiendo el negocio

Para construir un programa de seguridad que coincida con los objetivos comerciales, primero debe comprenderse el negocio. Uno de los principales métodos es realizando preguntas, no solo sobre la organización, sino también sobre el sector industrial. Debe existir una clara comprensión de ella, principalmente la razón por la que existe.

Otro aspecto a considerar es el valor agregado, o bien, qué la hace única; quiénes son los clientes y socios clave; qué esperan/quieren y cómo se compara con el sector industrial.

El siguiente paso es comprender cómo fluyen los ingresos. Es decir, conocer si son constantes, cíclicos o están vinculados a las ventas, así como tener claro cómo se pierden ingresos y si existen reservas de efectivo para tiempos difíciles. Esto nos dará la pauta para determinar qué activos son necesarios proteger, por ejemplo:

  • ¿Qué queremos mantener en secreto?
  • ¿Qué partes de la organización nunca deben ser manipuladas?
  • ¿Qué funciones deben continuar?
  • ¿Es crítico que el sitio web siempre esté activo?
  • ¿Qué necesitan los empleados para hacer su trabajo? ¿Qué información o sistemas necesitan? De no obtenerlo, ¿qué sucede?
  • ¿Qué regulaciones se deben cumplir?
  • ¿Qué contratos críticos deben efectuarse?

Otro factor imprescindible es estar seguros de comprender los principales desafíos que enfrenta la organización. Por ejemplo, el crecimiento, la supervivencia, los nuevos mercados, los cambios en las regulaciones, la competencia, la reducción de la base de clientes o del presupuesto de la legislatura, etc., sin dejar atrás los procesos organizacionales, los lugares físicos, y el nivel y uso de tecnología.

Aprender a escuchar con empatía

Un aspecto fundamental para desarrollar la cooperación es poner en práctica la habilidad de escuchar con empatía antes de comenzar a enviar un mensaje a las personas. La mayor parte de las veces escuchamos con el objetivo de entender el punto de vista de la otra persona, con la finalidad de reconocer cómo se siente acerca de la situación. De acuerdo con Forbes, la firma de consultoría Development Dimensions International –en su última investigación, con más de 15,000 líderes de más de 300 organizaciones en 20 industrias de 18 países– analizó las habilidades conversacionales de los líderes que tuvieron el mayor impacto en el desempeño general, destacando la capacidad de escuchar y el responder con empatía.

Escuchar atentamente las quejas y problemas, tanto de la gente como de los usuarios, nos ayudarán a reevaluar la misión de seguridad. Para derribar barreras y silos, es vital alinear las prácticas diarias de los usuarios con la seguridad, así como formular los mensajes de seguridad en el idioma de la cultura organizacional; es decir, brindar a las personas razones comprensibles por las cuales se implementa un proceso de seguridad.

Hablar sobre las amenazas y los impactos

Un factor determinante que pondrá en evidencia la eficiencia de un CISO es explicar el por qué de la implementación de los procesos de seguridad, siendo específicos y detallando el objetivo. En otras palabras, lo que se intenta evitar que suceda y aclarar cómo se controlará el proceso.

Por ejemplo, si explica que los números de seguridad social de los clientes siempre deben estar cifrados, los usuarios pueden informarle cuando los vean a simple vista. De esta forma, puede enfocarse rápidamente en incidentes de seguridad y solucionar problemas.

Otro gran motivador es explicar cómo los incidentes de seguridad afectan directamente la capacidad de la organización para funcionar y cumplir su objetivo comercial. Medir el riesgo en términos de la pérdida de la eficiencia operativa y la capacidad empresarial es una técnica poderosa, especialmente si se tiene una idea clara de lo que le importa a la organización.

Sobre el autor: Raymond Pompon es investigador de amenazas y especialista en tecnología en F5 Networks.

Este artículo se actualizó por última vez en noviembre 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close