Se promocionó el año 2021 como un momento para dar un paso atrás y revisar las decisiones que las organizaciones habían tomado apresuradamente en un momento de crisis que afectó materialmente su perfil de riesgo. Los eventos de 2020 vieron una gran conmoción en el panorama empresarial en todo el mundo, lo que generó grandes expectativas en los equipos de seguridad de la información para proteger la información de las organizaciones, al tiempo que permitió que una fuerza de trabajo remota desorientada continuara las operaciones comerciales de forma segura.
Para adaptarse a los nuevos requisitos comerciales, se aceleraron los planes de transformación digital, se adoptaron nuevas tecnologías con la mínima diligencia debida y se implementaron medidas temporales para limitar las interrupciones en la cadena de suministro. Era inevitable que la velocidad de esos cambios presentara oportunidades de riesgo.
Idealmente, las organizaciones habrían pasado de responder y adaptarse a la pandemia global a una nueva era de reanudación de las operaciones “normales” que permitiría a las empresas recuperar el control y mirar hacia el futuro. Pero la interrupción no disminuyó a medida que los gobiernos de todo el mundo continuaron moviéndose entre bloqueos, bloqueos parciales y flexibilización de restricciones, consolidando el trabajo híbrido como un elemento permanente, quizás la única certeza para los directores de seguridad de la información (CISO) y sus equipos.
Esto sirve para resaltar una lección para los profesionales del riesgo y la seguridad: la velocidad del negocio digital, junto con un mundo incierto, significa que nunca podremos tener un control total del riesgo. Debemos seguir reconsiderando cómo trabajamos con las empresas para mantener el riesgo de la información dentro de niveles de tolerancia aceptables, pero que cambian dinámicamente.
Los profesionales de la seguridad de la información deben ser ágiles, conciliadores y creativos para mantenerse al día con el ritmo de la transformación digital, la innovación empresarial y el cambio constante en los acuerdos laborales. Planificar la normalidad es inútil: esperar lo desconocido permitirá a ambas partes ofrecer una respuesta rápida, más informada y segura.
Para muchos CISO, la pandemia significó que de repente tuvieron la atención de la junta y aseguraron una inversión largamente esperada para implementar iniciativas de alta prioridad que cumplieran con las demandas comerciales. A medida que las amenazas se transforman, los requisitos regulatorios se hacen más estrictos y los atacantes se vuelven más sigilosos en sus tácticas, la gestión continua de esta relación comercial es vital.
Por lo tanto, 2021 debe recordarse como el año en que los CISO y las juntas directivas comenzaron a replantear su relación más allá de las demandas de emergencia y de alto ritmo con el fin de incorporar una colaboración más profunda y funcional. Como siempre, esto requiere que el CISO comprenda las preocupaciones y prioridades a nivel de la junta, y cómo eso se traduce en la protección de los activos de información y la infraestructura técnica de la organización. Esta visión empresarial debe ser lo más holística posible para cubrir los procesos operativos, la estrategia, los flujos de ingresos, los clientes, los proveedores, los socios, las instalaciones de la organización y mucho más.
Por el contrario, la alta dirección debe reconocer la importancia del riesgo cibernético para los resultados comerciales y ejercer su influencia cuando se trata de asumir la responsabilidad de su gestión. Los directores de experiencia (CxO) pueden ser más conocedores de la tecnología que nunca, pero los continuos desarrollos tecnológicos y los escenarios de amenazas más intrincados significan que su conocimiento se vuelve rápidamente obsoleto si los CISO no les brindan el apoyo necesario. Del mismo modo, los CxO deben sentirse cómodos para buscar ayuda y aportes de expertos en la materia para cubrir las lagunas en sus conocimientos.
En última instancia, la responsabilidad de las decisiones de seguridad recae en el CISO, mientras que el papel del CxO es influir e informar. Presentado en el nivel correcto y en tono conciliador, este compromiso cercano permitirá a los equipos de seguridad de la información reaccionar en tiempo real, no solo a las amenazas en evolución, sino también a un entorno operativo cambiante dictado por presiones externas fuera del control de una organización.