Desde hace poco tiempo, la seguridad cibernética se veía como algo aislado del resto de un negocio (imaginamos a dos chicos con capuchas trabajando en una habitación separada). Sin embargo, en la última década, finalmente recibió la adecuada atención y reconocimiento. Un número cada vez mayor de empresas está contratando directores de seguridad de la información (CISO) para ayudar a definir su estrategia comercial common, haciendo de la seguridad una prioridad para las juntas directivas corporativas. Por su parte, los CISO están empezando a comprender y delinear el papel de la seguridad como habilitador de negocios, no como un departamento que dice «no».
Las cosas están evolucionando y este cambio es emocionante de presenciar, aunque parece que hay una brecha importante. Gran parte de la discusión sobre el rol en evolución de la seguridad en los negocios se centra en el rol y las responsabilidades constantemente en expansión de los CISOs: reclutar y hacer crecer equipos de alto rendimiento, construir relaciones con líderes de otros departamentos, comunicarse y administrar a lo largo y ancho, habilitar al negocio a alcanzar sus metas y objetivos, entre otros. Lo que falta en la mayoría de estas conversaciones son los profesionales de la seguridad y lo importante que es para ellos entender el lado comercial de la seguridad.
Hay dos razones importantes por las que solo hacer que los CISOs piensen en el negocio no funcionará bien: 1) Sin una comprensión del negocio, es difícil para los profesionales de la seguridad trabajar de manera efectiva para protegerlo y 2) sin una comprensión del lado comercial de la ciberseguridad, es difícil que los profesionales de la seguridad técnica sean efectivos en la construcción del futuro de la industria. Veamos más de cerca cada uno de estos factores.
No puedes asegurar lo que no entiendes
El entorno de cada organización es diferente. Existen diferentes herramientas y aplicaciones utilizadas por los empleados, diferentes formas en que las personas colaboran, diferentes tipos de datos que recopilan las empresas y, lo que es más importante, diferentes joyas de la corona que necesitan protección. Muchas (incluso diría que la mayoría) de estas diferencias son consecuencias directas del negocio en el que se encuentra la empresa. Un fabricante de refrigeradores tiene diferentes tipos de riesgos y diferentes partes con acceso a sus datos que una agencia de advertising o un laboratorio de biotecnología.
Todos los días, los profesionales de seguridad toman decisiones que afectan la postura de seguridad de su organización no pueden confiar en que los CISOs sean las únicas personas con conocimientos críticos sobre el negocio. Comprender cómo la empresa genera ingresos, cómo los vendedores comparten información entre sí y con sus clientes potenciales, cómo los equipos de finanzas acceden a la información cuando trabajan de forma remota y cómo se les paga a los proveedores es elementary para proteger adecuadamente el entorno de la organización. Estadísticamente, es más probable que una empresa sufra una infracción debido a la forma en que algún departamento ha configurado su proceso comercial, no debido a la último día cero encontrado por Apple (aunque aprender sobre esto último podría ser más emocionante).
No puedes innovar lo que no entiendes
No todos los profesionales de la seguridad deberían convertirse en empresarios, pero algunos inevitablemente lo harán. Los futuros fundadores de ciberseguridad suelen pasar muchos años en la industria antes de encontrar un problema doloroso que valga la pena resolver y tomar la determinación de hacerlo. Esto significa que en el momento en que lanzan una startup, los empresarios de seguridad tienen un conocimiento profundo del aspecto técnico de la industria. Desafortunadamente, no ocurre lo mismo con el lado comercial de la seguridad cibernética.
Mantener la curiosidad, hacer preguntas y establecer relaciones con personas de otras partes de la empresa ayuda a los futuros fundadores y líderes de seguridad con lo siguiente:
Comprender cómo funciona el proceso de compras en las organizaciones, quiénes están involucrados y cómo se toman las decisiones.
Desarrollar una comprensión de qué áreas de una empresa están siendo pasadas por alto por las soluciones de seguridad actuales y qué problemas aún no se han solucionado.
Desarrollar una visión más amplia de lo que se necesita para dirigir una empresa y cómo las diferentes funciones contribuyen al éxito typical.
Obtener una visión amplia de diferentes tipos de empresas, diferentes modelos de ingresos y estructuras organizativas, y cómo estos factores afectan los resultados comerciales.
Si bien comprender el negocio de la organización que uno está tratando de proteger es basic para construir las medidas defensivas correctas, saber cómo es el aspecto comercial de la ciberseguridad es útil para asegurarse de que los fundadores no se entusiasmen tanto con la tecnología que olviden que tiene que haber un modelo de negocio sostenible para que la empresa crezca.
Mirando hacia el futuro
Hubo un tiempo en que el desarrollo de software program estaba donde está hoy la seguridad cibernética y los ingenieros no tenían que pensar en el lado comercial de las cosas. Un gerente de producto traería los requisitos y los desarrolladores los convertirían en software funcional sin hacer preguntas. Hoy en día, el desarrollo de productos se considera una resolución colectiva de problemas: los desarrolladores, diseñadores y gerentes de productos trabajan juntos para lograr los objetivos comerciales. Para eso, la gente del producto necesita entender los conceptos básicos de la tecnología, y los ingenieros necesitan una sólida comprensión del negocio en el que se mueve su empresa.
Cuanto antes los profesionales de la seguridad se vuelvan más proactivos en la comprensión del lado comercial de las organizaciones para las que trabajan y la industria en basic, mejor podrán hacer su trabajo y más probable será que desarrollen las innovaciones que cambien la forma en que funciona la industria para mejor. Si bien nadie esperará que obtengan un MBA, todos los profesionales de la seguridad se beneficiarían al obtener cierta visibilidad en áreas como internet marketing, ventas, servicio al cliente, finanzas, operaciones, entre otras. Después de todo, los procesos comerciales son de donde provienen muchas vulnerabilidades.
Resumen de Noticias Blockchain – Por qué los profesionales de la seguridad deben comprender su negocio
En la última década, la ciberseguridad ha recibido la atención y reconocimiento necesarios, y un número creciente de empresas está contratando directores de seguridad de la información para priorizar la seguridad. Sin embargo, muchas conversaciones sobre el rol de la seguridad en los negocios se centran en las responsabilidades de los CISO y se ignoran los profesionales de la seguridad. Es fundamental que los expertos en seguridad comprendan el negocio de la organización que protegen para tomar decisiones adecuadas y proteger el entorno de la organización. A su vez, los futuros fundadores y líderes de seguridad pueden beneficiarse al comprender el lado comercial de la ciberseguridad para crear soluciones que aborden necesidades de negocio actuales o pasadas por alto. La comprensión del lado comercial es esencial para construir medidas defensivas correctas y desarrollar innovaciones sostenibles en la ciberseguridad.
