¿Quién soy? ¿Qué quiero ser de mayor? También en Ciberseguridad es importante
Febrero 2021
David Pérez Lázaro
CEO Cofundador MNEMO Innovate
Autor: David Pérez Lázaro
Cargo: CEO Cofundador MNEMO Innovate
¿Quién soy? ¿Qué quiero ser de mayor? También en Ciberseguridad es importante
La estrategia de Ciberseguridad de una compañía pasa en primer lugar por entender el negocio y las amenazas a las que está sometido. ¿Cómo plantear entonces una estrategia de ciberseguridad “alineada” con el negocio? ¿Cómo implementarla con éxito? Veamos algunas reflexiones antes de pasar a la acción …
Es clave que cualquier empresa si situé en un cuadrante donde se mapee su “atractivo” para ser atacada (¿tengo información sensible, datos de clientes, propiedad intelectual etc…? ¿en qué países/mercados opero?) con su nivel de protección (como de “hackeable” soy). Desde el punto de vista de un cibercriminal una empresa fácilmente hackeable con un cierto atractivo presenta una relación coste-beneficio muy interesante.
Una vez que sé quién soy, tengo que decidir qué hacer y cómo, no vale (sólo) situar la Ciberseguridad en el Top 5 de las prioridades del año del Comité de Dirección … y no hacer nada. ¿Cuánto me tengo que gastar? ¿Qué decisiones organizativas tengo que tomar? ¿Cómo lo voy a medir?…
Tengo que tomar decisiones que marcan todo el viaje:
- “No quiero tener ningún incidente”: Imposible, aunque la inversión sea ilimitada
- “Quiero responder rápido y enterarme yo antes de que me lo digan otros”: Tendré que invertir en Detección
- “No quiero hacer nada porque no soy atractivo”: Tendré que invertir en recuperación porque ataques masivos – WannaCry fue hace menos de 4 años y parece del siglo pasado – pueden parar mi empresa .. pero ¿Cuántas veces me lo puedo permitir al año? ¿Cuánto puedo tardar en recuperarme?
- Solo me preparo para recuperar ¿Cuántas veces puedo asumirlo al año, en función del tiempo que tarde en recuperarme?
- “Quiero estar como mis peers en el mercado”: Me tendré que comparar con Inteligencia Sectorial y/o soluciones de rating de ciberseguridad
- “Haré lo que me diga el regulador”: La postura más fácil … y menos segura
Esta visión estratégica compartida es imprescindible para alinear a todos los niveles C de la compañía. De lo contrario un desalineamiento entre expectativas, inversión y ejecución hacen imposible el éxito.