La ciberseguridad y la prevención de amenazas han cobrado importancia para muchos líderes empresariales. Ahora que las ciberamenazas están sobre las empresas y evolucionan en sofisticación y gravedad, las estrategias de liderazgo han tenido que pivotar para tener en cuenta esta nueva ola de ciberdelincuencia.
A pesar de las importantes inversiones realizadas para mantener una ciberhigiene sólida, muchas empresas grandes y consolidadas han visto de primera mano lo perjudicial que puede ser una violación de datos o un incidente. A medida que las organizaciones se enfrentan al riesgo de ataques cada vez más dañinos a través de múltiples vectores de ataque, la necesidad de un liderazgo cibernético decisivo y tangible nunca ha sido más vital.
Ya nos hemos dado cuenta de que los ciberataques son simplemente una cuestión de «cuándo», no de «si». Sin embargo, los líderes de ciberseguridad visionarios y con visión de futuro tienen el poder de cultivar una cultura de concienciación alineada dentro de sus organizaciones, estableciendo un punto de referencia al que sus equipos puedan aspirar.
La madurez cibernética no se inicia de la noche a la mañana, pero con el enfoque y la mentalidad correctos, los Directores de Seguridad de la Información (CISO) y otros líderes ejecutivos pueden establecer una base sobre la que construirla, y promover una higiene cibernética saludable desde arriba y hacia abajo, para que todos en la empresa se beneficien de ella.
El papel evolutivo del liderazgo en ciberseguridad
En el pasado, la ciberseguridad se consideraba, invariablemente, un ámbito puramente técnico. Ahora se ha convertido en una preocupación empresarial estratégica que exige un cuidado y una atención constantes desde los niveles más altos de cualquier organización, independientemente del sector o la industria.
Hemos llegado a un punto en el que los líderes de la ciberseguridad deben ser personas fiables y afines, capaces de tender puentes entre la competencia y los conocimientos técnicos y una perspicacia empresarial acreditada.
Los líderes en ciberseguridad, especialmente si no tienen una formación predominantemente técnica, deben ser capaces de demostrar las estrategias de liderazgo, las técnicas de comunicación y los principios empresariales adecuados para una gestión eficaz en entornos complejos. No es infrecuente encontrar que muchos -si es la primera vez que asumen un papel como CISO o Director de Información (CIO)- reciben formación de coaching ejecutivo y tutoría para reforzar su estrategia y, lo que es más importante, no ser vistos como «extraños».
Las empresas (y, por extensión, sus clientes y proveedores) quieren que alguien en quien puedan confiar les dé seguridad. Sus actividades e información deben estar adecuadamente protegidas en términos de prevención, detección, reacción y recuperación, y el líder de ciberseguridad designado debe ser competente ante la adversidad y la incertidumbre.
Características clave de los líderes eficaces en ciberseguridad
1. Perspicacia empresarial
Los ciberdirigentes de éxito deben mostrar algo más que conocimientos técnicos y destreza. Deben ser valiosos «conocedores» del negocio, poseer una sólida comprensión de la historia, las operaciones, los retos y los objetivos estratégicos de la organización.
Al hablar el lenguaje de los negocios e ilustrar claramente cómo la ciberseguridad apoya y se alinea con estos objetivos, los líderes pueden empezar a generar confianza con las partes interesadas y otros ejecutivos de la organización. Alinear las iniciativas de ciberseguridad -por sustanciales que sean- con las estrategias empresariales globales debe ser una prioridad fundamental para los líderes si quieren obtener la aprobación de las partes internas y externas pertinentes.
Los líderes deben comprometerse regularmente con los departamentos de negocio para entender sus necesidades específicas, retos y éxitos, con el fin de obtener la alineación interdepartamental. Para las funciones no técnicas, cualquier concepto técnico o intrincado que pueda resultar difícil de entender debe traducirse a palabras que puedan comprenderse fácilmente, destacando el impacto y el riesgo para la empresa.
2. Escucha activa y compromiso de las partes interesadas
Un líder de ciberseguridad eficaz es una voz fiable de la razón y sabe escuchar. Comprende que el éxito de los procesos, políticas e iniciativas de seguridad requiere la aceptación interna y externa. Esto significa que los líderes cibernéticos deben escuchar activamente las preocupaciones, luchas, prioridades y objetivos de numerosas partes interesadas y responsables de la toma de decisiones, así como de los responsables de mantener los acuerdos entre compradores y proveedores.
Comprender y utilizar toda esta información puede ayudar a los líderes a desarrollar estrategias de seguridad rotundas que aborden y resuelvan activamente muchos retos actuales. De este modo, es más probable que el reconocimiento y la transparencia en cualquier iniciativa cibernética futura se acojan con confianza. El Marco de Ciberseguridad 2.0 del NIST es un buen punto de partida de referencia para ideas y estrategias de ejecución.
Considera la posibilidad de celebrar reuniones periódicas con las partes interesadas y los equipos interfuncionales para recabar opiniones y abordar los nuevos y cambiantes retos de la ciberseguridad. Del mismo modo, dedica tiempo a recopilar información sobre cualquier problema que se haya abordado, contenido y aislado para evaluar la eficacia del programa.
3. Visión a largo plazo y perseverancia
Revisar la postura y la madurez de la ciberseguridad de una organización dista mucho de ser una solución rápida. El compromiso y la implicación a largo plazo son vitales, y esto lo reconocen incluso los líderes de ciberseguridad más ambiciosos. Si puede demostrar que está preparado para mantener el rumbo, incluso ante posibles contratiempos, resistencias y cambios, es más probable que consiga la aprobación de sus compañeros y de su equipo en general.
El desarrollo de estrategias integrales y plurianuales que tengan en cuenta la evolución de las ciberamenazas, el avance de las tecnologías y los cambios en las necesidades de la empresa será una medida clave en los esfuerzos de ciberhigiene. Las revisiones mensuales y trimestrales del rendimiento permitirán evaluar y escudriñar datos granulares en situaciones aisladas, al tiempo que observa activamente la trayectoria de la organización hacia la consecución de sus objetivos principales.
Una hoja de ruta de ciberseguridad a largo plazo con hitos realistas y alcanzables proporcionará a los departamentos y ejecutivos métricas por las que esforzarse. Los éxitos graduales deben celebrarse y promoverse, y los fracasos -aunque totalmente posibles- deben utilizarse como oportunidades de aprendizaje, y no como excusa para reprender o restar importancia a otros logros.
Fomentar la concienciación cibernética en toda la organización
Cuando se trata de ciberdelincuencia y violación de datos, a menudo la primera línea de defensa son las personas que trabajan en la empresa.
Fomentar una cultura en la que cada empleado y parte interesada entienda su papel en el mantenimiento de una postura de seguridad es una función crítica como líder. Este cambio cultural es vital para crear una solidez organizativa que complemente las soluciones y procesos técnicos de seguridad.
Los líderes deben demostrar una buena etiqueta cibernética en sus actividades cotidianas como medio de predicar con el ejemplo y establecer una norma a seguir por el resto de la organización. En el caso del personal con menos conocimientos técnicos que, por ejemplo, los administradores y desarrolladores informáticos, la puesta en marcha de programas continuos de concienciación sobre la seguridad para informarles sobre las nuevas amenazas y las mejores prácticas les ayudará a mejorar sus conocimientos de forma exponencial. Los ejercicios simulados y los incentivos también contribuirán en gran medida a reforzar los conocimientos sobre seguridad, especialmente en lo que respecta a su papel individual durante una brecha.
Si deseas inspiración e ideas para crear una cultura de seguridad en tu organización, el Programa de Concienciación sobre Seguridad de SANS ofrece numerosos recursos y herramientas para empezar.
Fundamentalmente, establecer canales de comunicación claros y abiertos para informar sobre problemas de seguridad y hacer preguntas pertinentes sobre políticas y procesos resultará vital para mantener una cultura ciberpreparada.
Un llamado a un liderazgo eficaz en ciberseguridad
No es ningún secreto que las ciberamenazas seguirán evolucionando y expandiéndose, creando nuevas vulnerabilidades que las empresas deberán tener en cuenta. El papel de un liderazgo visionario en ciberseguridad también seguirá pivotando y adquiriendo importancia. Aprovechar la tecnología de forma eficaz junto con las estrategias de alto nivel descritas anteriormente proporcionará un impulso adicional para mantener la ciberhigiene en todo tu patrimonio. A largo plazo, estarás en una posición mucho más poderosa para hacer frente a las nuevas amenazas y desafíos si muestras preparación y alineación en toda tu organización.
Para enfoques sistemáticos y a largo plazo de la ciberseguridad -específicamente en relación con los sistemas de gestión de la información-, la norma ISO/IEC 27001 es un marco probado y comprobado que los líderes empresariales deben esforzarse por aplicar.
Para las empresas que buscan mejorar su postura cibernética e implementar soluciones sólidas relacionadas con el control de acceso y la gestión de identidades, GlobalSign ofrece un conjunto completo de soluciones. Desde plataformas de identidad digital y gestión de automatización de certificados hasta servicios PKI gestionados y gestión de dispositivos IoT, proporcionamos experiencia y herramientas para apoyar a los líderes cibernéticos ambiciosos y con visión de futuro en sus intentos de proteger sus negocios y datos. Obtén más información sobre cómo nuestras soluciones pueden ayudarte a mantener una ciberhigiene ejemplar en toda tu empresa.
Nota: Este artículo del blog ha sido escrito por un colaborador invitado con el fin de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas en este artículo de autor invitado son exclusivamente las del colaborador y no reflejan necesariamente las de GlobalSign.
