![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2018\/10\/25182801\/ciso-report-featured.jpg\")
<\/p>\n\u00bfC\u00f3mo conciben la seguridad los CISO (siglas en ingl\u00e9s de Director de seguridad de la informaci\u00f3n) o los puestos similares? \u00bfA qu\u00e9 problemas se enfrentan? Para conseguir la respuesta a estas preguntas, Kaspersky Lab encuest\u00f3 a 250 directores de seguridad de todo el mundo y sus opiniones resultaron muy interesantes, aunque no puedo decir que est\u00e9 totalmente de acuerdo con mis colegas.<\/p>\n
<\/p>\n
Por ejemplo, cuando les preguntamos que consideraran los indicadores de ejecuci\u00f3n claves de un CISO, no sorprende que la mayor\u00eda de encuestados afirmara que su criterio laboral principal es la calidad y la velocidad con la que se gestiona la respuesta a un incidente. En las empresas modernas, ya no se piensa que los ciberincidentes sean fallos de seguridad. Resulta positivo comprobar que la mayor\u00eda de los especialistas empiezan a comprender que los incidentes son sucesos normales e inevitables. Hoy, la ciberseguridad consiste b\u00e1sicamente en la supervivencia de la compa\u00f1\u00eda.<\/p>\n
Por supervivencia me refiero a contar con un nivel de protecci\u00f3n que pueda garantizar que, en caso de ataque de amenaza persistente avanzada<\/a>, filtraci\u00f3n de datos o DDoS masivos, una empresa puede recuperarse por s\u00ed misma sin da\u00f1os o p\u00e9rdidas serias, a excepci\u00f3n del m\u00ednimo predefinido. En otras palabras, el objetivo actual de los CISO apunta hacia la respuesta a incidentes.<\/p>\n Por un lado, est\u00e1 genial. Hace solo un par de a\u00f1os, prevaleci\u00f3 una visi\u00f3n de ciberprotecci\u00f3n de \u201cd\u00eda cero\u201d y las empresas pensaron que los CISO podr\u00edan blindar la infraestructura para mantenerla alejada de los incidentes. Pero, por otro lado, centrarse \u00fanicamente en tecnolog\u00edas reactivas no es lo mejor. Desde mi punto de vista, los CISO deben establecer un equilibrio. Todos los elementos de arquitectura de seguridad adaptativa<\/a> son importantes: prevenci\u00f3n, detecci\u00f3n, respuesta y predicci\u00f3n.<\/p>\n La mayor\u00eda de los CISO coinciden en que los riesgos m\u00e1s importantes a los que se expone una organizaci\u00f3n tras una brecha son las p\u00e9rdidas de reputaci\u00f3n y estoy totalmente de acuerdo, pues el da\u00f1o reputacional es la base del resto de consecuencias: disminuci\u00f3n de existencias, confianza del cliente o ventas.<\/p>\n La reputaci\u00f3n es la raz\u00f3n real por la que no escuchamos nada sobre la mayor\u00eda de los incidentes de seguridad. S\u00ed, una empresa puede ocultar un ciberincidente, aunque en algunos pa\u00edses la ley las obliga a revelar cualquier informaci\u00f3n sobre problemas de seguridad a sus accionistas y clientes.<\/p>\n Aparentemente, los CISO pueden detectar la intenci\u00f3n de los ciberincidentes y, por tanto, detectar tambi\u00e9n si su objetivo es ir contra el estado o conseguir recompensas econ\u00f3micas. Pero yo situar\u00eda los ataques internos en primera posici\u00f3n. En cuanto a p\u00e9rdidas, estos son los m\u00e1s peligrosos, de hecho, la experiencia ha demostrado que un empleado que no sea fiel a la empresa puede causar mucho m\u00e1s da\u00f1o que unos delincuentes externos.<\/p>\n Result\u00f3 muy interesante comprobar el nivel de implicaci\u00f3n de los directores de seguridad en la toma de decisiones empresariales. Me sorprend\u00ed al descubrir que no todos consideraban que estaban lo suficientemente involucrados. Pero \u00bfqu\u00e9 consideran \u201cadecuado\u201d?<\/p>\n B\u00e1sicamente, hay dos estrategias. La seguridad puede controlar cada paso que toma la empresa, aprobando cada movimiento o, en su lugar, pueden ejercer de asesores y que la compa\u00f1\u00eda les pregunte si van por el camino correcto.<\/p>\n A simple vista, el control total parece m\u00e1s efectivo y lo ser\u00eda si la ciberseguridad fuera el objetivo en s\u00ed. En realidad, esta estrategia requiere mucho m\u00e1s personal y puede frenar el desarrollo del negocio. Esto puede ser un aut\u00e9ntico reto para las empresas innovadoras que utilizan procesos comerciales que no cuenten todav\u00eda con las mejores pr\u00e1cticas para la protecci\u00f3n.<\/p>\n Las respuestas a la pregunta \u201cSin un ROI claro, \u00bfc\u00f3mo justificas tu presupuesto?\u201d me preocuparon. Al parecer, la mayor\u00eda se justifica mostrando informes de brechas de ciberseguridad y evaluaciones de da\u00f1os de ataques que ha sufrido la compa\u00f1\u00eda en el pasado. S\u00ed, funciona, al menos la primera vez y puede que la segunda. Pero la tercera vez lo normal es que respondan: \u201cBien, nos has conseguido asustar. Pero \u00bfc\u00f3mo se enfrentan los dem\u00e1s a esta situaci\u00f3n?\u201d.<\/p>\n Las empresas deben conocer las experiencias de otras compa\u00f1\u00edas. Desafortunadamente, los \u201cpuntos de referencia de la industria y las mejores pr\u00e1cticas\u201d ocuparon el s\u00e9ptimo lugar en la lista de argumentos, aunque dicha informaci\u00f3n se puede encontrar a simple vista. Por ejemplo, nosotros contamos con una aplicaci\u00f3n muy \u00fatil, nuestro IT Security Calculator<\/a>.<\/p>\nSobre riesgos<\/h2>\n
Influencia en decisiones empresariales<\/h2>\n
Justificaci\u00f3n de los presupuestos<\/h2>\n