Seguridad

Cómo trasladar los beneficios de la seguridad TIC a la junta directiva

directivos

He aquí ocho consejos para que la seguridad sea un tema prioritario en las organizaciones.

Para todos los profesionales de la tecnología, la seguridad y la gestión de riesgos son dos aspectos fundamentales para garantizar el correcto desempeño de todos los sistemas… pero el resto de la organización puede que no piense lo mismo.

En ese sentido, aún se producen situaciones desesperantes entre el director de Sistemas o CIO y el resto de la junta directiva (consejero delegado y responsables financieros, especialmente) a la hora de defender la importancia de la seguridad y los presupuestos destinados a esta área. Y es que muchos directivos tan sólo piensan en el crecimiento de la compañía, con lo que las TIC deben estar alineadas con este objetivo, impulsando la innovación dentro de la empresa. Sin embargo, esto no puede producirse sin un mínimo de seguridad y tratando de controlar el riesgo al que se expone la organización, un “freno” que aún cuesta asimilar.

Pero en esa falta de entendimiento también tienen parte de culpa el CSO (director de seguridad) y su equipo. Gartner ha analizado más de 300 presentaciones corporativas sobre seguridad y gestión del riesgo y ha encontrado que todas ellas eran demasiado complejas, sin alinearse con estrategias de negocio más amplias y sin conexión directa con la toma de decisiones más relevante de la compañía.

Entonces, ¿cómo pueden los responsables de seguridad hacer partícipes al resto de directivos de sus necesidades y preocupaciones? He aquí ocho consejos para que la seguridad sea un tema prioritario en las organizaciones:

1. Formalizar los programas de riesgo y seguridad

Un programa formalizado es aquel que es repetible y medible, con lo que es más fácil de comprender y analizar por parte de la junta directiva. Suele contener cuatro fases fundamentales: gobierno, planificación, ejecución y gestión.

seguridad

2. Programa de medida de la madurez

Al utilizar una escala de madurez se pueden identificar las brechas y oportunidades para mejorar. La madurez es también una buena abstracción para que los tomadores de decisiones ejecutivas -que no siempre entienden de tecnología- puedan comprender estas problemáticas.

3. Ser proactivos al gestionar el riesgo

No hay nada como una protección perfecta. Las organizaciones deben tomar decisiones conscientes sobre lo que van a hacer para mitigar el riesgo al que están expuestas. Por ello, no vale con ser reactivos, sino que los gestores de riesgos deben adoptar un enfoque proactivo para la evaluación y gestión de estas amenazas.

4. Establecer objetivos de negocio y de riesgo

Los gestores de riesgos necesitan definir nuevos indicadores principales de rendimiento empresarial que incluya tanto indicadores clave de rendimiento (KPI) como indicadores clave de riesgo (KRI). Es necesario eliminar la concepción de que sólo importa el rendimiento en la compañía, una idea que lo único que hace es perpetuar la sensación de que la seguridad es un tema residual, del que se ocupa el equipo TIC, y que no debe preocupar al resto de la compañía.

5. Establecer una relación entre los KRI y los KPI

Muchas organizaciones ya miden y analizan los indicadores claves de riesgo (KRI) pero no han sido capaces de relacionarlos directamente con el negocio, valorando su impacto directo en el rendimiento de la empresa. Si no se hace esto, todo el trabajo del equipo de seguridad queda en un documento carente de interés para el resto de la junta directiva.

seguridad

6. Rentabilidad de la seguridad

La mejor manera de ganar el apoyo ejecutivo es demostrar el valor para el negocio de la seguridad. Hasta ahora, se había utilizado el miedo, la incertidumbre y la duda para tratar de conseguir su apoyo, pero los ejecutivos no quieren oír lo mal que va a funcionar todo si no invierten en seguridad, sino cuánto dinero pueden ganar o ahorrarse si lo hacen.

7. Retire métricas operacionales de las comunicaciones ejecutivas

No es recomendable, según Gartner, utilizar métricas operacionales para comunicarse en una reunión directiva con personal que no es experto en tecnología. Los ejecutivos carecen de la experiencia y la capacitación para entender su significado en un contexto empresarial.

8. Comunicar claramente lo que funciona y lo que no

Los directivos no quieren oír detalles técnicos ni explicaciones sopesadas y recargadas de datos, sino que quieren la respuesta a una serie de preguntas muy simples: ¿Cuáles son nuestros riesgos? ¿Cuál es nuestra postura? ¿Qué hacemos al respecto? Si el responsable de seguridad contesta de forma clara y concisa a estas cuestiones habrá ganado más de la mitad de la batalla.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.

  • Félix

    Lo más engorroso es romper los paradigmas de quienes dirigen la empresa.