CIBERSEGURIDAD: ¿Cómo hacer más (y mejor) con menos?

La transformación digital acelerada es una realidad desde el año 2020. Ante esta tormenta perfecta, ¿cómo debe la función de Ciberseguridad posicionarse? ¿ha llegado el momento de poner (más) en valor para el negocio su importancia para la transformación y resiliencia empresariales? Veamos algunas respuestas …

Las empresas han aprendido durante las crisis pasadas en este mismo siglo a ejecutar con éxito programas de reducción de costes para maximizar la eficiencia de sus operaciones, pero desde el año pasado vivimos en una “tormenta perfecta” donde las necesidades de reducción de costes son sólo un factor más frente al imperativo de la transformación digital (ahora sí, de verdad) en un contexto hostil de amenazas y riesgos crecientes y con presupuestos incluso decrecientes.

Es pues este momento también un punto de inflexión para el desarrollo de la ciberseguridad en la empresa, que requiere tomar decisiones estratégicas (y acertar en ellas), priorizar las iniciativas clave y ejecutarlas con éxito en un contexto de cambio. En definitiva, como HACER MAS (Y MEJOR) CON MENOS.

El contexto

Hay cientos de datos estadísticos que muestran la realidad de amenazas crecientes durante el último año, multiplicadas tras el inicio de la crisis de la COVID-19 y con ejemplos casi semanales de empresas españolas que ven afectadas seriamente sus operaciones por ciberataques.

Sin necesidad de aburriros con un torrente de datos, lo que podemos afirmar es que cualquier empresa, independientemente de su sector, va a sufrir (si no ha sufrido ya) un ciberincidente grave que ponga en peligro sus operaciones, su reputación y/o hasta su continuidad en el mercado en los próximos dos o tres años.

Por supuesto, el tamaño de la empresa, el sector y su regulación entre otros, condicionan el nivel de madurez de cada una, pero independientemente de ello, el contexto de cambio continuo que vivimos (todo ahora es “agile”) requiere también una revisión ágil de en que punto se encuentra la ciberseguridad en la empresa, hacia donde va y como está preparada la organización para una gran crisis (que llegará seguro)

El retorno de inversión

El retorno de inversión en seguridad es el Santo Grial que parecía fácil de enunciar, pero difícil de explicar e imposible de conseguir para los CISOs de las empresas. Pero, una vez existe histórico de las consecuencias económicas de cibercrisis en empresas relevantes de múltiples industrias (p.ej. brechas de datos con impacto financiero medible en valoración bursátil o multas impuestas por los reguladores), es un concepto que hay que reforzar y recuperar como hilo conductor en la discusión de ciberseguridad en los Comités de Dirección.

Pensemos en un CFO cuyo único objetivo es proteger el EBITDA de la compañía y que se pregunta por qué tiene que disminuir un 1% el beneficio para invertir en ciberseguridad. Esa pregunta no solo la tiene que resolver el CISO sino, si es preciso, justificar que es necesario más sin pronunciar una sola palabra técnica que enrede la discusión.

Mantener esta conversación en los Comités de Dirección es todavía una asignatura pendiente para muchas compañias y requiere establecer el mismo tono para que negocio, tecnología y seguridad se alineen.