Tres estrategias para demostrar el valor de la seguridad

0
35

El ejecutivo de seguridad, Ricardo González, no ve la seguridad de TI como un centro de costos, sino que la describe como «una inversión estratégica en la reducción del riesgo corporativo y una contribución positiva a la realización del valor del negocio».

Eso es algo que todo el C-suite puede respaldar. Sin embargo, es una perspectiva que solo ha comenzado a ganar terreno a medida que los CISO y su equipo de seguridad maduran, para convertirse en líderes ejecutivos con plenos derechos.

De hecho, González, jefe de riesgo operacional y control, así como gerente de resiliencia del negocio de Zurich España, parte de la compañía de seguros internacional, señala que más CISOs están compartiendo su perspectiva -y buscan cuantificar su valor.

«Los CISO se preocupan cada vez más por medir su contribución», anota.

Es una ambición importante y que vale la pena, pero muchos CISOs luchan por articular en términos financieros lo que, y cuánto, la seguridad ofrece a la organización. Sin embargo, los expertos dicen que aún debe hacerse.

«Demostrar el valor del negocio puede ser mucho más fácil para las ventas, la producción, el aprovisionamiento, e incluso para TI. Pero para funciones como el cumplimiento, la gestión de riesgos o la seguridad de la información, demostrar el valor es mucho más difícil, por lo que es más importante hacerlo», indica González. «Los profesionales en esas áreas generalmente caen en la tentación de pensar que son simplemente ‘necesarios’ de alguna manera, parte del costo de hacer negocios. Esto es un error. Usted debe ayudar a alcanzar los objetivos de negocio, la línea superior y el resultado final, de la manera más eficaz posible, con el menor desperdicio posible. Y si nadie más está midiendo su contribución, entonces usted debe ser el que se preocupe de cómo hacerlo mejor».

Este es un nuevo territorio para los CISOs, que tradicionalmente se han centrado en medir las mejoras tácticas como el número de parches implementados o los ataques de denegación de servicio bloqueados. También es particularmente difícil, ya que calcular el retorno de la inversión en inversiones en seguridad ha sido notoriamente difícil de calcular. Después de todo, ¿cómo se le pone precio a la ausencia de algo malo que no sucede?

Hay maneras de hacerlo, dicen los principales ejecutivos de seguridad, investigadores y asesores de ciberseguridad. Están de acuerdo en que los CISOs ahora necesitan adoptar métricas e indicadores clave de rendimiento (KPIs) que ilustren mejor el valor de negocio que la función de seguridad proporciona a la organización en su conjunto.

«Cuando se miran los cuadros de mando o scorecards de seguridad convencionales, se componen de proyectos o vulnerabilidades mitigadas, tasas de clics de phishing, parches realizados. Y aunque estas cosas son importantes para entender la postura de seguridad de la organización, en realidad no presentan ningún valor para nadie más allá del CISO», señala Sam Olyaei, director de Gartner Research, donde forma parte del grupo de Gestión de Riesgos y Seguridad.

Aunque no hay ningún KPI que funcione para cada CISO, los expertos dicen que hay varios pasos clave que los CISOs deben seguir para desarrollar métricas que demuestren el valor del negocio de la seguridad en su propia empresa en particular.

Medida contra el riesgo
Para empezar, cada CISO debe entender su propia organización desde una perspectiva de negocio -sus flujos de ingresos, sus activos, su estrategia, etc.-, y cómo encajan en su tolerancia al riesgo, anota Anne Marie Zettlemoyer, vicepresidenta de ingeniería de seguridad de la información y responsable de seguridad de la división de Mastercard.

«La seguridad no está ahí sólo para sí misma; se trata de entender el apetito de riesgo del negocio y luego construir cercas alrededor de él», añade Zettlemoyer, quien también es una experta en seguridad de ISACA, una asociación profesional enfocada en el gobierno de TI.

Los CISOs que entienden lo que es más importante para el negocio pueden entonces construir un programa de seguridad alineado con las necesidades del negocio, con menos probabilidad de endurecer la seguridad en áreas menos críticas, mientras que no invierten lo suficiente en las más críticas. «Los CISOs tienen que construir defensas y capacidades que estén en línea con el riesgo», añade Zettlemoyer.

Muchas organizaciones aún no están tan maduras.

La Encuesta Global de Seguridad de la Información 2018-2019 de EY encuestó a unos 1.400 líderes de C-suite, incluyendo ejecutivos de seguridad de la información y de TI, y encontró que el 55% de las organizaciones «no hacen de la protección de la organización una parte integral de sus estrategias y planes de ejecución». La encuesta también reveló que el 92% de las organizaciones tienen funciones de ciberseguridad que no satisfacen plenamente sus necesidades.

Sin embargo, los expertos señalan que los CISOs que tienen una comprensión de los profesionales de negocios, las estrategias y la tolerancia al riesgo, pueden articular mejor la forma en que las inversiones en seguridad en particular, encajan con los objetivos del negocio y los umbrales de riesgo. Estos CISOs pueden entonces enmarcar la propuesta de valor de la seguridad contra lo bien que se alinea con la tolerancia al riesgo de la organización.

«Los indicadores y métricas solo tendrán sentido si pueden ayudar a todo el mundo a entender cuán lejos o cerca está [la seguridad] en relación con esos umbrales», explica González.

Cuantifique el papel de la seguridad en el éxito del negocio
Los CISOs necesitan comprender los planes estratégicos de la organización, trazar dónde y cómo la función de seguridad permite alcanzar los objetivos de negocio, y luego identificar y cuantificar cómo el papel de la seguridad contribuye al éxito general de esas iniciativas.

«El valor de la seguridad está aquí en cómo facilitar esos resultados de negocio, cómo ayudar a llevar un producto de negocio de un punto A a un punto B», indica Olyaei, añadiendo que los CISOs que tienen fuertes relaciones con sus pares del lado de los negocios, están mejor posicionados para preguntar, aprender y entender los aspectos financieros de cualquier iniciativa dada, así como para descubrir la capacidad de éxito de la seguridad.

Considere, por ejemplo, cómo trabaja la seguridad con los equipos empresariales y de TI, cuando éstos están lanzando productos digitales al mercado. Como Zettlemoyer señala: «La mayoría de los CISOs saben lo que cuesta si algo va cuesta abajo, o las responsabilidades en términos de contratos o en términos de multas [regulatorias]».

Estas cifras pueden ayudar a destacar el papel de la seguridad en la habilitación de estos productos digitales, de la misma manera que las funciones empresariales y de TI pueden compartir la forma en que su trabajo proporciona un retorno de la inversión.

Así que identifique la contribución que hace la seguridad al éxito de proyectos e iniciativas específicas, señala González, y luego siga midiéndola.

«Por ejemplo, se podría argumentar que la evaluación de la posición de seguridad de TI -y la posterior mejora y mantenimiento- fue clave para el éxito de una iniciativa empresarial específica (por ejemplo, una fusión), y la contribución de la seguridad de TI se puede considerar como un 2%. En el futuro, el 2% de los beneficios potenciales del negocio podrían ser atribuibles a la seguridad de TI», anota González.

Utilice métricas que importan
Por supuesto, la seguridad no es solo una cuestión de habilitación; su razón de ser sigue siendo proteger y defender la empresa.

Sin embargo, no existe una garantía del 100%. La comunidad de seguridad reconoció hace años que es imposible construir una fortaleza impenetrable. De hecho, la mayoría de los CISOs han adoptado la idea de que algunos incidentes son inevitables. Es una mentalidad de cuándo, no de si.

Sin embargo, es posible que los ejecutivos y directores de C-suite no estén entendiendo ese mensaje.

«La mayoría de los CISOs todavía prometen tablas al 100%, [diciendo] ‘Si me das X dólares, arreglaré esto'». Usted promete perfección, aunque les diga que no es posible», explica Olyaei.

Como resultado, la seguridad tiene que demostrar lo bien que le va con métricas más matizadas, las que no miden simplemente (y con toda seguridad) frente a las inseguras; sino más bien las que indican dónde se encuentra la organización entre esos extremos, y si está mejorando con el tiempo con respecto a esas medidas.

Hay una serie de indicadores que los CISOs pueden utilizar para desarrollar KPIs que son relevantes para mostrar el valor de las inversiones en valores.

Conozca sus objetos de valor: ¿Hasta qué punto el equipo de seguridad ha catalogado todos los activos de la organización, identificado la tolerancia al riesgo para cada uno de ellos, e implementado el nivel de defensas correspondiente?

«Todas las empresas deben conocer sus objetos de valor -cuál es su tecnología principal y qué es lo que quieren proteger- para poder poner un muro alrededor de los activos más valiosos. Hay algunas empresas [que entienden] que, si pierden un montón de correos electrónicos en una infracción, está bien; pero si pierden números de Seguro Social, entonces es un tema diferente», anota Omri Admon, especialista en innovación corporativa y experto en ciberseguridad de la empresa de redes de negocios SOSA NYC.

Medir la resistencia: ¿Cuál es el tiempo de respuesta cuando ocurre un ataque? ¿Qué tan rápido cumplió el equipo de seguridad con los elementos clave de esa respuesta, como el tiempo necesario para cerrar los puntos de salida y reducir la cantidad de datos que se trasladan fuera de la empresa? Admon señala que los CISOs pueden calcular en dólares reales el valor de una respuesta rápida que resulta en un menor impacto en el negocio.

Zettlemoyer anota que adopta ese enfoque, utilizando datos de investigación y cifras disponibles públicamente para calcular cómo sus inversiones en seguridad pueden producir ganancias financieras para su empresa.

«Mientras hablamos sobre el tema de la resiliencia, se puede mostrar valor a través de pruebas, simulaciones y ejercicios que [demuestran] cuán bien preparada está su organización para responder a algo y cuán rápido puede recuperarse», indica.

Punto de referencia con respecto a otras organizaciones: Zettlemoyer dice que puede explicar cómo respondería su equipo de seguridad en un evento, el nivel esperado de resistencia y la cantidad de dinero que se ahorra al estar preparada, señalando las consecuencias y los costos que otras compañías enfrentan por no estar adecuadamente preparadas. Ha utilizado, por ejemplo, el hecho de que el gigante del transporte marítimo con sede en Copenhague, A.P. Moller-Maersk, tenía unos costos estimados de 200 a 300 millones de dólares como resultado del ataque del 2017 de NotPetya.

Otros también recomiendan datos de brechas para comparar su desempeño con otros de tamaño similar o en sus industrias.

«Son datos concretos los que están disponibles», anota Rolf von Roessing, vicepresidente del consejo de ISACA, CEO de Forfa Consulting AG y presidente de Forfa Holding AG. Dice que los CISOs pueden comparar el éxito, y por lo tanto el valor, de sus inversiones contra el número y el costo de las infracciones, así como el monto de las multas o sanciones asociadas experimentadas por organizaciones comparables.

Además, Bill Serowka, consultor senior de Swingtide, una empresa de consultoría de gestión y TI, señala que los CISOs pueden utilizar datos, como el informe anual de Ponemon, Cost of a Data Breach, para cuantificar el valor en dólares de una función de seguridad robusta. El informe del 2019 calcula que el costo promedio de una violación de datos es de 3,92 millones de dólares, lo que representa un aumento del 12% con respecto a hace cinco años.

Estas cifras ayudan a los ejecutivos de las líneas de negocio, CEOs y directores a apreciar plenamente el valor que generan las inversiones en seguridad, indica Serowka. Así que vale la pena tenerlos listos.

«Los CISOs necesitan cuantificar el riesgo y necesitan asociar un signo de dólar con ese riesgo, y necesitan reportarlo en consecuencia. Porque el negocio se trata de riesgo vs. recompensa, y la gente en este nivel [ejecutivo] quiere entender si quieren tomar los riesgos, si los riesgos compensan las recompensas o no».

Mary K. Pratt, CSO.com