Cómo mejorar la comunicación entre el personal de seguridad de la información y los directivos

La falta de comunicación entre una empresa y su servicio de seguridad de la información puede generar pérdidas innecesarias. Hoy intentamos averiguar cómo superar esta barrera de comunicación.

Ninguna empresa opera correctamente sin una cooperación fluida entre la dirección general y los especialistas responsables de las distintas áreas que la conforman. Claro que dicha cooperación requiere comunicación, lo que puede llegar a ser difícil, ya que los gerentes y especialistas trabajan en burbujas de información distintas y, generalmente, hablan diferentes idiomas. La dirección piensa en ganancias, costes y el desarrollo; los especialistas, y el servicio de seguridad de la información no son la excepción, piensan en sus tareas técnicas específicas.

Un estudio reciente realizado por nuestros compañeros demostró que, aunque el entendimiento mutuo entre directivos y especialistas en seguridad de la información va en aumento en general, todavía existen problemas. De hecho, el 98 % de los representantes empresariales encuestados afirmaron haber experimentado algún tipo de malentendido con el servicio de seguridad de la información al menos una vez que, como consecuencia directa, habría provocado al menos un incidente de seguridad en el 62 % de los casos, mientras que el 61 % informó de impactos negativos en la empresa, incluidas las pérdidas, la partida de empleados clave o un deterioro de la comunicación entre departamentos. A su vez, los propios profesionales de la seguridad no siempre son conscientes de los problemas: al 42 % de los líderes empresariales les gustaría que los especialistas en seguridad fueran más claros al comunicarse, ¡pero el 76 % de estos especialistas aseguran que todos los entienden a la perfección!

Usualmente hay problemas con el lenguaje que se usa: los directivos no siempre entienden todos los tecnicismos que usan los servicios de seguridad de la información. Pero la terminología no es el único problema en su comunicación; de hecho, está lejos de ser problema principal. Tratemos de comprender el resto de los problemas con la ayuda de Patrick Miller, socio gerente de Archer International, y su discurso en la Kaspersky Industrial Cybersecurity Conference de 2019.

Una concepción muy diferente del riesgo.

La mayoría de los especialistas en seguridad de la información tienen un umbral de tolerancia al riesgo muy bajo. Pero en los negocios, ocurre lo contrario: sin riesgo, no hay beneficio, por lo que usualmente los directivos están dispuestos a asumir riesgos mayores. Para el jefe, el principal objetivo es encontrar el equilibrio ideal entre ganancias y potenciales pérdidas. El objetivo real del departamento de seguridad, por raro que parezca, no es eliminar todas las amenazas, sino ayudar a que la empresa gane tanto como sea posible.

Desde el punto de vista empresarial, los riesgos pueden aceptarse, evitarse, reducirse o transferirse (por ejemplo, a las aseguradoras). Los directivos tratarán de tomar los máximos riesgos posibles para aumentar las ganancias. Para ellos, la seguridad de la información es solo una pequeña parte de la imagen, de hecho, es casi seguro que ni siquiera quieran piensen en ella.

Por ende, los especialistas en seguridad de la información no deben pensar en cómo cerrar todas las brechas, sino en identificar y neutralizar las amenazas que realmente puedan causar daños graves a la empresa. En consecuencia, también deberían pensar en cómo explicar a los directivos por qué vale la pena gastar dinero en resolver algo.

El FUD no funciona

Tratar de persuadir a la dirección mediante tácticas de miedo, incertidumbre y duda (FUD por sus siglas en inglés) no funcionará, ya que la empresa no paga al servicio de seguridad de la información para ser asustados. Los especialistas están para resolver problemas y, mejor aún, para que nadie note si surge alguno.

Otro problema con el uso del concepto FUD es que los directivos ya viven estresados, solo por el hecho de que cualquier error que cometan podría ser el último; por ejemplo, hay muchas personas alrededor que aprovecharán la oportunidad para ocupar su lugar, por lo que no pueden confiar en cualquiera. Por ende, no necesitan sentir miedo adicional.

Y, por último, a ningún jefe le gusta demostrar que desconoce algo. Por tanto, cualquier intento de bombardear a la dirección con términos que suenen inteligentes está claramente condenado a fracasar.

Piensa como empresa

El objetivo principal de cualquier empresa comercial es ganar dinero, por lo que los directivos ven todo desde esa perspectiva, es lo que saben hacer. Por ende, si un especialista en seguridad de la información se les acerca y les dice: “apareció una amenaza y necesitamos invertir X cantidad de dinero para neutralizarla”, lo que escucha es “si nos arriesgamos y no hacemos nada, ahorraremos X cantidad”. Suena loco, pero justo así es cómo piensan las empresas.

Para el directivo, es esencial que todas sus acciones (o inacciones) den como resultado números financieros positivos, incluso aunque dicha cifra positiva sea la diferencia entre dos negativos. Por tanto, deben presentarle la situación de una forma que pueda comprender: “Existe una amenaza con una probabilidad del Z % de causar un daño Y al negocio. Necesitamos gastar X para neutralizarlo”. Esta es una ecuación que, en la mentalidad empresarial, tiene sentido.

Claro que no siempre es posible predecir de forma realista el coste potencial del daño, por lo que puedes usar valores conocidos como el tiempo de inactividad (durante el cual se limpiarían las consecuencias del incidente), la cantidad o el tipo de datos que podrían perderse o comprometerse, las pérdidas de reputación, etc. Después, la empresa podrá trasladar esta información a números comprensibles, con la ayuda de especialistas. Pero es mejor si el equipo de seguridad de la información puede hacerlo por sí mismo, ya que se ahorra mucho tiempo.

Naturalmente, la posibilidad de que la ecuación no funcione a favor de la seguridad de la información siempre existe. Esto no siempre es un problema de falta de comunicación; puede que la dirección escuche y entienda todo a la perfección, pero que correr el riesgo sea más rentable. Eso o que la seguridad de la información no haya podido argumentar de forma convincente su posición dado que todavía no sabe pensar como empresa.

La clave aquí es tener una buena comprensión de la posición del servicio de seguridad de la información dentro de la empresa y las ganancias que genera. Esto permitirá evaluar y clasificar mejor las posibles amenazas, evitar la pérdida de tiempo y los nervios propios y ajenos en iniciativas que claramente no llegarán a ningún lado y, en general, trabajar de forma más eficiente.

Los plazos y el factor tiempo

El factor tiempo es crucial para la seguridad: algunas amenazas deben protegerse cuanto antes. Pero el tiempo también importa para las empresas, donde el tiempo es dinero. Hoy puedes gastar X cantidad de dinero antes mencionada, pero si lo haces en un mes, entonces, en manos hábiles, X se convertirá en X*n y X*(n-1) permanecerá en el banco.

Aunque la directiva comprenda el problema y entienda que debe resolverse, no se apresurarán a gastar dinero a menos que se les dé una fecha límite clara y bien fundamentada. También deben saber que, cuando el plazo venza, automáticamente deben asumir la responsabilidad por el riesgo en específico, ya que entonces la seguridad de la información solo puede limpiar las consecuencias.

Este plazo debe ser lo más realista posible. Si la seguridad de la información siempre exige que se tome una decisión “para ayer”, la directiva dejará de escuchar y los tratará como el niño del cuento del lobo. Y si siempre dice “bueno, tienes un año para pensarlo”, los despedirán directamente o después del siguiente incidente. Es importante poder evaluar, establecer un plazo real y resaltar los potenciales riesgos.

Hay que señalar que muy pocas empresas reservan dinero en sus cuentas, esperando que el director de seguridad de la información venga y les diga cuanto antes dónde gastarlo. Los fondos para resolver problemas deberán tomarse o pedirse prestados de alguna parte, y esto puede llevar un tiempo. Por cierto, para entender este tiempo, también es importante saber cómo funciona y se financia una empresa.

Piensa en marketing

Para comunicarte correctamente, los especialistas en seguridad de la información deben tener algunas habilidades de marketing; así podrán vender a los jefes sus soluciones.

  • Ofrece una solución, no un problema. Obviamente, no puedes vender un problema.
  • Apóyate en datos reales y fácilmente comprobables, cuando sea posible. A los directivos les encantan: disminuyen la incertidumbre.
  • En lugar de términos técnicos, usa un atractivo lenguaje de ventas y diapositivas con gráficos coloridos.
  • Ofrece varias opciones, incluso aquellas que claramente no son viables.
  • Pon toda la oferta en una única página: nadie leerá más que eso.
  • Usa sinónimos para la expresión “seguridad de la información”: reducción de riesgos, garantía de la resistencia/continuidad de los procesos de trabajo, mantenimiento de la eficiencia operativa, reducción del tiempo de inactividad, prevención de daños, etc.
  • Utiliza los menos posible el lenguaje emocional y mantén un estilo de comunicación profesional y empresarial.

¿Qué hacer?

El saberse adaptar es la clave para una comunicación comercial exitosa. Para ello, debes salir de tu burbuja especializada y aprender a hablar con los directivos usando el idioma y los contextos de su preferencia. Aunque quieran, no pueden profundizar en todos los detalles técnicos de cada departamento de la empresa. En cuanto al servicio de seguridad de la información, es importante reconocer que eres solo una parte de la empresa, por lo que debes saber cómo funciona y ayudar a obtener los máximos ingresos con el menor coste.

Y también vale la pena consultar los resultados de nuestro último estudio de investigación sobre la relación entre los directivos y los gestores de seguridad TI (en inglés).

Consejos