No hace mucho tiempo, la ciberseguridad se veía como algo separado del resto de un negocio (piense en dos tipos con sudaderas con capucha trabajando en una habitación separada). Pero en la última década, finalmente recibió el reconocimiento y la atención bien merecidos y necesarios. Un número cada vez mayor de empresas está contratando directores de seguridad de la información (CISO) para ayudar a dar forma a su estrategia comercial typical, haciendo de la seguridad una prioridad principal para las juntas directivas corporativas. Por su parte, los CISO están comenzando a comprender y delinear el papel de la seguridad como habilitador de negocios, no como un departamento del «no».
Las cosas están evolucionando y es emocionante presenciar estos cambios, aunque parece haber una brecha importante.
Gran parte de la discusión sobre el lugar en evolución de la seguridad en los negocios se centra en el rol y las responsabilidades en constante expansión de los CISO: reclutar y hacer crecer equipos de alto rendimiento, construir relaciones con líderes de otros departamentos, comunicarse y administrar a lo largo y ancho, habilitar el negocio para alcanzar sus metas y objetivos, y similares. Lo que falta en la mayoría de estas conversaciones son los profesionales de la seguridad y lo importante que es para ellos entender el lado comercial de la seguridad.
Hay dos razones importantes por las que hacer que los CISO sean las únicas personas que piensan en el negocio no funcionará bien: 1) Sin una comprensión del negocio, es difícil para los profesionales de la seguridad hacer un buen trabajo protegiéndolo y 2) sin una comprensión del lado comercial de la ciberseguridad, es difícil que los profesionales de la seguridad técnica sean efectivos en la construcción del futuro de la industria. Echemos un vistazo más de cerca a cada uno de estos factores.
No puedes asegurar lo que no entiendes
El entorno de cada organización es diferente. Existen diferentes herramientas y aplicaciones utilizadas por los empleados, diferentes formas en que las personas colaboran, diferentes tipos de datos que recopilan las empresas y, lo que es más importante, diferentes joyas de la corona que necesitan protección. Muchas (incluso diría que la mayoría) de estas diferencias son resultados directos del negocio en el que se encuentra la empresa. Un fabricante de refrigeradores tiene diferentes tipos de riesgos y diferentes tipos de partes con acceso a sus datos que una agencia de internet marketing o un laboratorio de biotecnología.
Todos los días, los profesionales de seguridad toman decisiones que afectan la postura de seguridad de su organización no pueden confiar en que los CISO sean las únicas personas con conocimientos críticos sobre el negocio. Comprender cómo la empresa genera ingresos, cómo los vendedores comparten información entre sí y con sus clientes potenciales, cómo los equipos de finanzas acceden a la información cuando trabajan de forma remota y cómo se les paga a los proveedores es essential para proteger adecuadamente el entorno de la organización. Estadísticamente, es más probable que una empresa sufra una infracción debido a la forma en que algún departamento ha configurado su proceso comercial, no debido a la último día cero encontrado por Apple (aunque aprender sobre esto último podría ser más emocionante).
No puedes innovar lo que no entiendes
No todos los profesionales de la seguridad deberían convertirse en empresarios, pero algunos inevitablemente lo harán. Los futuros fundadores de ciberseguridad suelen pasar muchos años en la industria antes de encontrar un problema doloroso que valga la pena resolver y tomar la determinación de hacerlo. Esto significa que en el momento en que lanzan una startup, los empresarios de seguridad tienen un conocimiento profundo del aspecto técnico de la industria. Desafortunadamente, no ocurre lo mismo con el lado comercial de la ciberseguridad.
Mantener la curiosidad, hacer preguntas y establecer relaciones con personas de otras partes de la empresa ayuda a los futuros fundadores y líderes de seguridad con lo siguiente:
- Comprender cómo funciona el proceso de compras en las organizaciones, quiénes están involucrados y cómo se toman las decisiones.
- Desarrollar una comprensión de qué áreas de una empresa están siendo pasadas por alto por las soluciones de seguridad actuales y qué problemas aún no se han resuelto.
- Desarrollar una visión más amplia de lo que se necesita para dirigir una empresa y cómo las diferentes funciones contribuyen al éxito normal.
- Obtener una visión amplia de diferentes tipos de empresas, diferentes modelos de ingresos y estructuras organizativas, y cómo estos factores afectan los resultados comerciales.
Si bien comprender el negocio de la organización que uno está tratando de proteger es fundamental para construir las medidas defensivas correctas, saber cómo es el aspecto comercial de la ciberseguridad es útil para asegurarse de que los fundadores no se entusiasmen tanto con la tecnología que olviden que tiene que haber un modelo de negocio sostenible para que la empresa crezca.
Mirando hacia el futuro
Hubo un tiempo en que el desarrollo de software program estaba donde está hoy la seguridad, y los ingenieros no tenían que pensar en el lado comercial de las cosas. Un gerente de producto traería los requisitos y los desarrolladores los convertirían en software funcional sin hacer preguntas. Hoy en día, el desarrollo de productos se considera una resolución colectiva de problemas: los desarrolladores, diseñadores y gerentes de productos trabajan juntos para lograr los objetivos comerciales. Para eso, la gente del producto necesita comprender los conceptos básicos de la tecnología, y los ingenieros necesitan una sólida comprensión del negocio en el que se encuentra su empresa.
Cuanto antes los profesionales de la seguridad se vuelvan más proactivos en la comprensión del lado comercial de las organizaciones para las que están contratados para proteger, y la industria en common, mejor podrán hacer su trabajo y más probable será que desarrollen las innovaciones que cambian el cómo funcionan las cosas en la industria para mejor. Si bien nadie esperará que obtengan un MBA, todos los profesionales de la seguridad se beneficiarían al obtener cierta visibilidad en áreas como advertising, ventas, servicio al cliente, finanzas, operaciones y similares. Después de todo, los procesos comerciales son de donde provienen muchas vulnerabilidades.
