,

Persuadir a la Gerencia y Directores sobre temas de ciberseguridad

Existen varias estrategias y métodos para persuadir a la alta gerencia y dirección sobre la importancia de los temas de seguridad. A continuación, se detallan los puntos clave que he visto y también aplicado (la mayoría han funcionado) y se incluye un análisis económico del impacto de implementar controles de seguridad. Sin duda es un…

Existen varias estrategias y métodos para persuadir a la alta gerencia y dirección sobre la importancia de los temas de seguridad. A continuación, se detallan los puntos clave que he visto y también aplicado (la mayoría han funcionado) y se incluye un análisis económico del impacto de implementar controles de seguridad.

  1. Comunicación Efectiva:
    • Desarrollar un caso de negocio sólido: para persuadir a la alta gerencia, es esencial presentar un caso de negocio claro y bien estructurado que explique los beneficios y la necesidad de las inversiones en seguridad. Esto debe incluir un análisis de costo-beneficio, ROI, y cómo la ciberseguridad contribuye a los objetivos estratégicos de la organización.
    • Utilizar un lenguaje que resuene con la alta dirección, enfocándose en cómo la ciberseguridad puede apoyar los objetivos empresariales, reducir riesgos y mejorar la competitividad.
  2. Presentar evidencia y datos:
    • Análisis de riesgos: proveer datos concretos sobre los riesgos actuales y potenciales que enfrenta la organización, incluyendo ejemplos de incidentes recientes que hayan impactado a otras empresas del sector.
    • Estadísticas y tendencias: utilizar estadísticas de la industria y estudios de casos para demostrar la prevalencia y el impacto de las amenazas cibernéticas.
  3. Enfoque en la gestión del riesgo:
    • Valuación del impacto: Detallar cómo los incidentes de seguridad pueden afectar negativamente las operaciones, finanzas, reputación y cumplimiento regulatorio de la organización.
    • Apetito al riesgo: Ayudar a la alta dirección a definir y entender la tolerancia al riesgo de la organización en el contexto de la ciberseguridad, y cómo las inversiones en este tema pueden mitigar estos riesgos.
  4. Beneficios de la seguridad:
    • Mejora en la confiabilidad del cliente: explicar cómo una postura de ciberseguridad sólida puede mejorar la confianza del cliente y la reputación de la marca.
    • Cumplimiento regulatorio: resaltar la importancia del cumplimiento con las normativas y regulaciones relevantes, evitando sanciones y multas (en Chile; ley de ciberseguridad, ley de delito informático, ley de datos personales).
  5. Políticas y Estrategias:
    • Políticas de ciberseguridad: desarrollar y presentar políticas claras que demuestren el compromiso de la organización con la ciberseguridad y la ciberdefensa.
    • Plan de continuidad del negocio y recuperación ante desastres: explicar cómo la seguridad de la información es crucial para la continuidad del negocio y la capacidad de recuperación ante incidentes.
  6. Participación en la toma de decisiones:
    • Involucrar a la alta dirección: asegurarse que la alta dirección esté involucrada en la toma de decisiones relacionadas con la ciberseguridad, mediante comités de seguridad o reuniones periódicas de actualización.
    • Roles y responsabilidades claras: definir claramente los roles y responsabilidades en materia de ciberseguridad y asegurar que hay un liderazgo dedicado para estas áreas.
  7. Evaluación y mejora continua
    • Auditorías periódicas: Las auditorías internas y externas periódicas permiten evaluar la efectividad de las políticas y controles de seguridad, y utilizar los resultados para realizar mejoras continuas.
    • Indicadores de desempeño: establecer KPIs y KRIs para medir la efectividad y riesgos de las iniciativas de seguridad y presentar estos indicadores regularmente a la alta dirección.
  8. Análisis económico: Aspecto crucial para persuadir a la alta dirección es demostrar el impacto económico de implementar controles de seguridad frente a no hacerlo. Este análisis puede estructurarse de la siguiente manera:
    • Costo de implementar un control de seguridad
      • Gastos iniciales:
        • Adquisición de tecnología: costos de software, hardware y licencias.
        • Implementación: gastos en consultoría, integración y configuración.
        • Capacitación: formación del personal para usar y gestionar las nuevas herramientas.
      • Gastos recurrentes:
        • Mantenimiento y soporte: costos asociados al mantenimiento continuo y soporte técnico.
        • Actualizaciones y mejoras: gastos para mantener el control actualizado con las últimas amenazas.
    • Costo de no implementar un control de seguridad
      • Pérdidas financieras directas:
      • Robo de datos: costos asociados a la pérdida de datos sensibles y confidenciales.
      • Interrupciones de negocio: pérdidas debidas a la interrupción de operaciones comerciales.
    • Costos indirectos:
      • Sanciones regulatorias: multas por incumplimiento de normativas de protección de datos y ciberseguridad.
      • Daño a la reputación: pérdida de confianza de los clientes y daño a la marca, lo que puede traducirse en pérdida de negocio a largo plazo.
  9. Gastos de recuperación:
    • Respuesta a incidentes: costos de investigación, contención y remediación de ciberincidentes.
    • Litigios: gastos legales asociados a demandas y reclamaciones de terceros.

Sin duda es un desafío que requiere una combinación de comunicación efectiva, presentación de datos y un análisis económico claro, habilidad/ conocimiento que no todos los informáticos dominamos. Al demostrar cómo la inversión en controles de ciberseguridad puede prevenir pérdidas significativas y mejorar la resiliencia organizacional, los profesionales de seguridad pueden obtener el apoyo necesario para implementar y mantener un robusto programa de ciberseguridad, y todo en 1 slide (gran desafío).

Posteado por:

Diego Grandón

Diego Grandón

Socio Consultor Cyber, IT & AI Risk

Next

Related Posts