Como casi todos los líderes de seguridad de TI, Matt Riley, responsable de protección de datos y seguridad de la información de Sharp en Europa, a menudo se encuentra en conversaciones difíciles con colegas de negocios sobre lo que pueden y no pueden hacer desde una perspectiva de ciberseguridad.
“Mi enfoque”, dice, “es que la respuesta nunca es ‘no’. No se ganan corazones y mentes con un tema realmente importante diciendo ‘no’ todo el tiempo”. Refiriéndose a una investigación del gobierno del Reino Unido, Riley dice que las empresas ven la ciberseguridad y la seguridad de TI como una alta prioridad. “Sabemos que el nivel de preocupación por la ciberseguridad está creciendo. Pero en comparación con hace 10 años, ahora hay mucha más conciencia de por qué es importante”.
Sin embargo, Riley dice que uno de los desafíos que enfrentan los profesionales de la ciberseguridad es el hecho de que el nivel de conocimiento sobre la ciberseguridad es relativamente bajo. Los tomadores de decisiones empresariales no son expertos en ciberseguridad. “Simplemente decir ‘no’ significa que estamos poniendo barreras”, añade.
Riley utiliza la narración cuando maneja conversaciones difíciles con colegas de negocios sobre los riesgos cibernéticos asociados con iniciativas o proyectos que desean impulsar. Dice: “Se trata de hacer que el riesgo sea identificable para la persona con la que estás hablando”.
Dado que la seguridad de TI utiliza mucha terminología técnica, convencer a las personas significa brindarles una manera de evaluar los riesgos en un contexto que puedan comprender. “Tengo un hermoso ejemplo con el equipo de liderazgo de Sharp”, dice, donde los responsables de la toma de decisiones empresariales pudieron tomar una decisión informada sobre si contratar o no un nuevo proveedor de equipos de red inalámbrica. “Fue una propuesta realmente buena”, dice. “Todos estaban muy entusiasmados de que fuera una gran idea. Entonces tomé las medidas necesarias para revisar la empresa. Necesitábamos entender cómo protegerían nuestros datos”.
Después de la debida diligencia, Riley dice que se sentó con el equipo de liderazgo y preguntó quién le gustaría participar a nivel de la junta directiva para patrocinar al proveedor de TI en cuestión. “Luego dije que había algunas advertencias. Ellos [the wireless equipment supplier] no nos dará acuerdos de nivel de servicio; no nos darán tiempo de actividad; No nos darán ningún tipo de garantía de que su producto cumpla con nuestros requisitos mínimos de seguridad”.
Riley dice que después de esta conversación, nadie estaba dispuesto a ser patrocinador ejecutivo. “No dije ‘no’, pero los llevé a una decisión informada y de todos modos llegaron a esa conclusión”, añade.
Entre las crecientes áreas de preocupación para los jefes de seguridad de TI se encuentra la cadena de suministro como un punto potencial de falla y debilidad de la ciberseguridad. Riley espera que las amenazas a las cadenas de suministro aumenten exponencialmente en los próximos años. Hacer frente a este tipo de ataques requiere un cambio cultural, lo que siempre resulta difícil. Dice: “Nosotros, como empresa, y todas las empresas, deberíamos tener un nivel real de debida diligencia en la cadena de suministro. Pero debemos adoptar un enfoque basado en el riesgo porque no vivimos en un mundo de blanco y negro: vivimos en una especie de espectro gris de lo que es seguro y lo que no lo es”. En este contexto, afirma que los líderes de seguridad de TI deben asegurarse de haber implementado controles adecuados para ayudar a proteger el negocio.