Por qué los líderes de TI están poniendo más foco comercial en el gasto en seguridad

Gartner proyecta que el gasto en seguridad de la información y productos y servicios de gestión de riesgos crecerá un 11,3% para llegar a más de 188.300 millones de dólares este año. Pero a pesar de esos gastos, ya ha habido al menos 13 filtraciones importantes de datos, incluso en Apple, Meta y Twitter.

Para enfocar mejor el gasto en seguridad, algunos directores de seguridad de la información (CISO) están cambiando sus evaluaciones de riesgos de los sistemas de TI a los datos, las aplicaciones y los procesos que mantienen el negocio en marcha.

"Si observas la seguridad desde una perspectiva puramente técnica, es fácil perderse en la idea de 'necesito tener este objeto brillante porque todos los demás lo tienen", dice David Christensen, vicepresidente y CISO del proveedor de software de administración de beneficios PlanSource. “La realidad es que, a menudo, la nueva solución de seguridad más popular o conocida puede desperdiciar dinero y ralentizar el negocio, especialmente si no se alinea con los objetivos comerciales. E incluso si ayuda a proteger una parte del negocio, es posible que no sea la parte del negocio o del proceso comercial que genere el mayor riesgo o sea la más importante”.

Don Pecha, CISO del proveedor de servicios administrados FNTS, está de acuerdo. “Cada unidad comercial de la empresa puede tener consideraciones únicas y aplicaciones únicas de cumplimiento, normativas o privacidad, y cada negocio puede tener riesgos únicos para la junta directiva o C-suite".

Frank Kim, CISO residente en la firma de capital de riesgo YL Ventures y miembro del Instituto SANS, cita el caso de un CISO que fue despedido después de sugerir costosos programas de detección de endpoints y respuesta a incidentes considerados no apropiados para tal situación. “Su enfoque estaba en la supervivencia y el crecimiento de los ingresos”, dice Kim. “No se dio cuenta de que su trabajo no era solo sugerir un montón de nuevas capacidades de seguridad, sino también la habilitación del negocio.

Una nueva definición de valor

Alinear la seguridad con el negocio va más allá de los métodos tradicionales de justificar el gasto en seguridad, como advertir sobre las consecuencias de los ataques o tratar de demostrar el ROI. Para los equipos de seguridad empresarial internos, Kim recomienda aceptar que la seguridad es un centro de costes y demostrar cómo el CISO administra el coste total de propiedad a lo largo del tiempo. Esto podría incluir actualizar a los directores financieros y directores generales sobre la reducción de costes específicos, como reducir el gasto con un proveedor de seguridad, encontrar un producto menos costoso para satisfacer una necesidad de seguridad o mejorar las métricas internas, como el coste promedio para mitigar una vulnerabilidad, agrega Tyson Kopczynski, SVP y CISO en el proveedor de servicios financieros Oportun.

Christensen sugiere además explicar cómo la seguridad puede reducir costes o aumentar la productividad. Por ejemplo, dice, los firewalls de aplicaciones web no solo protegen las aplicaciones, sino que reducen los costos de red al reducir el tráfico malicioso y espurio. Además, la adopción de una arquitectura de confianza cero y tecnologías de punta del servicio de acceso seguro puede ayudar a aumentar la productividad al liberar a los usuarios de la implementación manual de redes privadas virtuales para acceder a los recursos o interrumpir las reuniones cuando falla su VPN. 

Kopczynski agrega que los CISO pueden descubrir tales mejoras con preguntas como si su organización está utilizando todas las funciones de una herramienta de seguridad, si esas funciones se superponen con otras herramientas y si la organización está pagando demasiado por las licencias o por demasiadas licencias. Las formas de maximizar el valor incluyen considerar herramientas que realicen múltiples funciones de seguridad o ejecutar pruebas de penetración, simulaciones de ataques o campañas de seguridad ofensivas que demuestren que una herramienta puede repeler ataques de alto impacto, dice. Por ejemplo, utiliza el motor de cifrado Titaniam para respaldar varios casos de uso de protección de datos, así como herramientas de seguridad proporcionadas por proveedores de la nube como Amazon y Microsoft. “También buscamos soluciones genéricas de seguridad en la nube que brinden múltiples conjuntos de protecciones, en lugar de abordar un caso de uso particular”, dice.

En la agencia de marketing global y firma de consultoría The Channel Company, las consideraciones de seguridad están profundamente arraigadas en la estrategia comercial y el presupuesto, dice el CIO Rik Wright. Esto va desde la necesidad de cumplir con el RGPD de la Unión Europea hasta el cumplimiento de los requisitos de seguridad de los clientes.

Evitar las amenazas también forma parte de la ecuación de valor de la seguridad en la empresa, que utiliza el proveedor de servicios gestionados GreenPages tanto para la infraestructura como para ayudar a satisfacer sus necesidades de seguridad. Wright dice que ha visto a algunas empresas gastar cantidades potencialmente amenazantes para el negocio de hasta 20 millones después de un ataque de ransomware, por lo que prevenir tales pérdidas, dice, representa un valor muy real.

Entendiendo las necesidades del negocio

La alineación del gasto en seguridad con las necesidades comerciales comienza con la comprensión de lo que es más importante para los gerentes comerciales.

Kim recomienda usar una fórmula de "riesgo = impacto x probabilidad" y comprender en una escala del 1 al 10 cuáles son sus procesos y activos más importantes. “Sus datos financieros pueden ser un 10, pero sus datos de recursos humanos pueden ser un siete, ya que no es un diferenciador comercial”, dice. "El simple hecho de usar una rúbrica de puntuación simple para su cálculo de riesgo ayuda a descubrir cuáles son las prioridades".

Además de los negocios, Christensen dice que los CISO también deben consultar TI para comprender la carga administrativa que podría imponer una nueva tecnología de seguridad y todas las áreas en las que se podría usar una herramienta de seguridad para maximizar su valor. Utiliza Secure Web Gateway de dope.security no solo para controlar el acceso, sino también para comprender a qué información y sitios web acceden los usuarios y los riesgos potenciales a los que exponen el negocio.

Los marcos estándar de la industria también pueden proporcionar un lenguaje y una estructura comunes para la evaluación de riesgos, como el marco de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología). "Es tan simple que no es necesario ser un profesional de la seguridad para entenderlo, pero modela su madurez y ayuda a relacionarlo con las partes interesadas del negocio", dice Christensen, que añade que también se basa en los estándares de la industria en lugar de las opiniones del CISO y es actualizada continuamente para reflejar nuevos riesgos.

Diferentes marcos de seguridad son mejores para diferentes industrias, dice Pecha. “Si estoy en el gobierno, me alinearé con el NIST”, dice. “Si tiene una empresa global, utilice la familia de normas ISO/IEC 27000. No es necesario estar certificado, pero cumpla con las normas y comprenda cuáles son los controles para comprender las necesidades de seguridad de su socio, así como las suyas propias”.

Scott Reynolds, gerente sénior de seguridad e ingeniería de redes del fabricante Johns Manville, utiliza el estándar ISA/IEC 62443 para crear un entendimiento común entre gerentes comerciales, expertos en seguridad y proveedores sobre términos comunes como las "zonas" de activos que comparten necesidades de seguridad comunes. “Este proceso también muestra que estamos de acuerdo en el mismo nivel de riesgo para toda la zona, y no solo para cada activo de la zona”, dice. “El eslabón más débil de la zona afectará a todos los activos dentro de ella”.

En el proveedor de tecnología de edición y creación de medios Avid Technology, Dmitriy Sokolovskiy, su CISO y CSO, utiliza el marco de seguridad cibernética de NIST para medir la madurez de sus procesos de seguridad y los principales controles de seguridad del Centro para la seguridad de Internet para orientación táctica específica, que, dice, resalte, fruta madura que las empresas pueden abordar fácilmente en su infraestructura.

Precaución con los puntos de referencia

Varios CISO se mostraron escépticos sobre el uso de puntos de referencia para comparar su gasto en seguridad con otros. Eso se debe a que, dicen, las empresas pueden definir el gasto en seguridad de manera diferente o tener necesidades diferentes. También dicen que los puntos de referencia a menudo no describen cómo y por qué las organizaciones asignan sus presupuestos de seguridad. Como resultado, utilizan puntos de referencia como una guía aproximada para la elaboración de presupuestos, basándose principalmente en sus propias evaluaciones de riesgos.

Pero Kim advierte a los CISO que no rechacen las solicitudes de evaluación comparativa de nivel C. “No es irrazonable pedir un punto de referencia”, dice. “Un director financiero no podría decir: 'No podemos comparar nuestras ganancias por acción con otros en la industria”. Proporcione puntos de referencia, dice, pero como parte de una explicación más amplia de cómo se compara su gasto en seguridad con otros, los desafíos que enfrenta la organización y cómo está reduciendo el coste total de propiedad de la seguridad con el tiempo.

“Los CISO deben describir las amenazas y los ataques actuales”, dice Pecha, y proporcionar alternativas para remediarlos. Luego, depende de la junta directiva y del C-suite decidir qué es aceptable y qué se debe hacer para administrar el riesgo general para el negocio, dice, porque solo ellos tienen la influencia para impulsar el cambio.

Insistir en que un ejecutivo comercial acepte formalmente un riesgo comercial, incluso por escrito, a menudo lo convence de aceptar el gasto de seguridad propuesto. Cuando Sokolovskiy ha insistido en tal aprobación, sin falta, hasta ahora la unidad de negocios en realidad se vio impulsada a reducir el riesgo ellos mismos porque son los dueños", dice.

Un enfoque centrado en el negocio también puede estimular los esfuerzos de los equipos comerciales y de seguridad para identificar oportunidades para aumentar la eficiencia y ahorrar dinero, dice Christensen, como por ejemplo, mediante la eliminación de sistemas y procesos redundantes. “Con la alineación comercial, no tiene más remedio que encontrar formas únicas e innovadoras de resolver los problemas que genera la forma en que opera el negocio”, dice.