{"id":25857,"date":"2023-02-08T13:52:11","date_gmt":"2023-02-08T19:52:11","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25857"},"modified":"2023-02-08T13:52:11","modified_gmt":"2023-02-08T19:52:11","slug":"business-soc-communications","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/business-soc-communications\/25857\/","title":{"rendered":"C\u00f3mo mejorar la comunicaci\u00f3n entre el personal de seguridad de la informaci\u00f3n y los directivos"},"content":{"rendered":"<p>Ninguna empresa opera correctamente sin una cooperaci\u00f3n fluida entre la direcci\u00f3n general y los especialistas responsables de las distintas \u00e1reas que la conforman. Claro que dicha cooperaci\u00f3n requiere comunicaci\u00f3n, lo que puede llegar a ser dif\u00edcil, ya que los gerentes y especialistas trabajan en burbujas de informaci\u00f3n distintas y, generalmente, hablan diferentes idiomas. La direcci\u00f3n piensa en ganancias, costes y el desarrollo; los especialistas, y el servicio de seguridad de la informaci\u00f3n no son la excepci\u00f3n, piensan en sus tareas t\u00e9cnicas espec\u00edficas.<\/p>\n<p>Un <a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\">estudio reciente<\/a> realizado por nuestros compa\u00f1eros demostr\u00f3 que, aunque el entendimiento mutuo entre directivos y especialistas en seguridad de la informaci\u00f3n va en aumento en general, todav\u00eda existen problemas. De hecho, el 98 % de los representantes empresariales encuestados afirmaron haber experimentado alg\u00fan tipo de malentendido con el servicio de seguridad de la informaci\u00f3n al menos una vez que, como consecuencia directa, habr\u00eda provocado al menos un incidente de seguridad en el 62 % de los casos, mientras que el 61 % inform\u00f3 de impactos negativos en la empresa, incluidas las p\u00e9rdidas, la partida de empleados clave o un deterioro de la comunicaci\u00f3n entre departamentos. A su vez, los propios profesionales de la seguridad no siempre son conscientes de los problemas: al 42 % de los l\u00edderes empresariales les gustar\u00eda que los especialistas en seguridad fueran m\u00e1s claros al comunicarse, \u00a1pero el 76 % de estos especialistas aseguran que todos los entienden a la perfecci\u00f3n!<\/p>\n<p>Usualmente hay problemas con el lenguaje que se usa: los directivos no siempre entienden todos los tecnicismos que usan los servicios de seguridad de la informaci\u00f3n. Pero la terminolog\u00eda no es el \u00fanico problema en su comunicaci\u00f3n; de hecho, est\u00e1 lejos de ser problema principal. Tratemos de comprender el resto de los problemas con la ayuda de Patrick Miller, socio gerente de Archer International, y su <a href=\"https:\/\/www.youtube.com\/watch?v=d-Z6Ip1oyvc\" target=\"_blank\" rel=\"noopener nofollow\">discurso<\/a> en la Kaspersky Industrial Cybersecurity Conference de 2019.<\/p>\n<h2>Una concepci\u00f3n muy diferente del riesgo.<\/h2>\n<p>La mayor\u00eda de los especialistas en seguridad de la informaci\u00f3n tienen un umbral de tolerancia al riesgo muy bajo. Pero en los negocios, ocurre lo contrario: sin riesgo, no hay beneficio, por lo que usualmente los directivos est\u00e1n dispuestos a asumir riesgos mayores. Para el jefe, el principal objetivo es encontrar el equilibrio ideal entre ganancias y potenciales p\u00e9rdidas. El objetivo real del departamento de seguridad, por raro que parezca, no es eliminar todas las amenazas, sino ayudar a que la empresa gane tanto como sea posible.<\/p>\n<p>Desde el punto de vista empresarial, los riesgos pueden aceptarse, evitarse, reducirse o transferirse (por ejemplo, a las aseguradoras). Los directivos tratar\u00e1n de tomar los m\u00e1ximos riesgos posibles para aumentar las ganancias. Para ellos, la seguridad de la informaci\u00f3n es solo una peque\u00f1a parte de la imagen, de hecho, es casi seguro que ni siquiera quieran piensen en ella.<\/p>\n<p>Por ende, los especialistas en seguridad de la informaci\u00f3n no deben pensar en c\u00f3mo cerrar todas las brechas, sino en identificar y neutralizar las amenazas que <em>realmente<\/em> puedan causar da\u00f1os graves a la empresa. En consecuencia, tambi\u00e9n deber\u00edan pensar en c\u00f3mo explicar a los directivos por qu\u00e9 vale la pena gastar dinero en resolver algo.<\/p>\n<h2>El FUD no funciona<\/h2>\n<p>Tratar de persuadir a la direcci\u00f3n mediante t\u00e1cticas de miedo, incertidumbre y duda (FUD por sus siglas en ingl\u00e9s) no funcionar\u00e1, ya que la empresa no paga al servicio de seguridad de la informaci\u00f3n para ser asustados. Los especialistas est\u00e1n para resolver problemas y, mejor a\u00fan, para que nadie note si surge alguno.<\/p>\n<p>Otro problema con el uso del concepto FUD es que los directivos ya viven estresados, solo por el hecho de que cualquier error que cometan podr\u00eda ser el \u00faltimo; por ejemplo, hay muchas personas alrededor que aprovechar\u00e1n la oportunidad para ocupar su lugar, por lo que no pueden confiar en cualquiera. Por ende, no necesitan sentir miedo adicional.<\/p>\n<p>Y, por \u00faltimo, a ning\u00fan jefe le gusta demostrar que desconoce algo. Por tanto, cualquier intento de bombardear a la direcci\u00f3n con t\u00e9rminos que suenen inteligentes est\u00e1 claramente condenado a fracasar.<\/p>\n<h2>Piensa como empresa<\/h2>\n<p>El objetivo principal de cualquier empresa comercial es ganar dinero, por lo que los directivos ven todo desde esa perspectiva, es lo que saben hacer. Por ende, si un especialista en seguridad de la informaci\u00f3n se les acerca y les dice: \u201capareci\u00f3 una amenaza y necesitamos invertir X cantidad de dinero para neutralizarla\u201d, lo que escucha es \u201csi nos arriesgamos y no hacemos nada, ahorraremos X cantidad\u201d. Suena loco, pero justo as\u00ed es c\u00f3mo piensan las empresas.<\/p>\n<p>Para el directivo, es esencial que todas sus acciones (o inacciones) den como resultado n\u00fameros financieros positivos, incluso aunque dicha cifra positiva sea la diferencia entre dos negativos. Por tanto, deben presentarle la situaci\u00f3n de una forma que pueda comprender: \u201cExiste una amenaza con una probabilidad del Z % de causar un da\u00f1o Y al negocio. Necesitamos gastar X para neutralizarlo\u201d. Esta es una ecuaci\u00f3n que, en la mentalidad empresarial, tiene sentido.<\/p>\n<p>Claro que no siempre es posible predecir de forma realista el coste potencial del da\u00f1o, por lo que puedes usar valores conocidos como el tiempo de inactividad (durante el cual se limpiar\u00edan las consecuencias del incidente), la cantidad o el tipo de datos que podr\u00edan perderse o comprometerse, las p\u00e9rdidas de reputaci\u00f3n, etc. Despu\u00e9s, la empresa podr\u00e1 trasladar esta informaci\u00f3n a n\u00fameros comprensibles, con la ayuda de especialistas. Pero es mejor si el equipo de seguridad de la informaci\u00f3n puede hacerlo por s\u00ed mismo, ya que se ahorra mucho tiempo.<\/p>\n<p>Naturalmente, la posibilidad de que la ecuaci\u00f3n no funcione a favor de la seguridad de la informaci\u00f3n siempre existe. Esto no siempre es un problema de falta de comunicaci\u00f3n; puede que la direcci\u00f3n escuche y entienda todo a la perfecci\u00f3n, pero que correr el riesgo sea m\u00e1s rentable. Eso o que la seguridad de la informaci\u00f3n no haya podido argumentar de forma convincente su posici\u00f3n dado que todav\u00eda no sabe pensar como empresa.<\/p>\n<p>La clave aqu\u00ed es tener una buena comprensi\u00f3n de la posici\u00f3n del servicio de seguridad de la informaci\u00f3n dentro de la empresa y las ganancias que genera. Esto permitir\u00e1 evaluar y clasificar mejor las posibles amenazas, evitar la p\u00e9rdida de tiempo y los nervios propios y ajenos en iniciativas que claramente no llegar\u00e1n a ning\u00fan lado y, en general, trabajar de forma m\u00e1s eficiente.<\/p>\n<h2>Los plazos y el factor tiempo<\/h2>\n<p>El factor tiempo es crucial para la seguridad: algunas amenazas deben protegerse cuanto antes. Pero el tiempo tambi\u00e9n importa para las empresas, donde el tiempo es dinero. Hoy puedes gastar X cantidad de dinero antes mencionada, pero si lo haces en un mes, entonces, en manos h\u00e1biles, X se convertir\u00e1 en X*n y X*(n-1) permanecer\u00e1 en el banco.<\/p>\n<p>Aunque la directiva comprenda el problema y entienda que debe resolverse, no se apresurar\u00e1n a gastar dinero a menos que se les d\u00e9 una fecha l\u00edmite clara y bien fundamentada. Tambi\u00e9n deben saber que, cuando el plazo venza, autom\u00e1ticamente deben asumir la responsabilidad por el riesgo en espec\u00edfico, ya que entonces la seguridad de la informaci\u00f3n solo puede limpiar las consecuencias.<\/p>\n<p>Este plazo debe ser lo m\u00e1s realista posible. Si la seguridad de la informaci\u00f3n siempre exige que se tome una decisi\u00f3n \u201cpara ayer\u201d, la directiva dejar\u00e1 de escuchar y los tratar\u00e1 como el ni\u00f1o del cuento del lobo. Y si siempre dice \u201cbueno, tienes un a\u00f1o para pensarlo\u201d, los despedir\u00e1n directamente o despu\u00e9s del siguiente incidente. Es importante poder evaluar, establecer un plazo real y resaltar los potenciales riesgos.<\/p>\n<p>Hay que se\u00f1alar que muy pocas empresas reservan dinero en sus cuentas, esperando que el director de seguridad de la informaci\u00f3n venga y les diga cuanto antes d\u00f3nde gastarlo. Los fondos para resolver problemas deber\u00e1n tomarse o pedirse prestados de alguna parte, y esto puede llevar un tiempo. Por cierto, para entender este tiempo, tambi\u00e9n es importante saber c\u00f3mo funciona y se financia una empresa.<\/p>\n<h2>Piensa en marketing<\/h2>\n<p>Para comunicarte correctamente, los especialistas en seguridad de la informaci\u00f3n deben tener algunas habilidades de marketing; as\u00ed podr\u00e1n vender a los jefes sus soluciones.<\/p>\n<ul>\n<li>Ofrece una soluci\u00f3n, no un problema. Obviamente, no puedes vender un problema.<\/li>\n<li>Ap\u00f3yate en datos reales y f\u00e1cilmente comprobables, cuando sea posible. A los directivos les encantan: disminuyen la incertidumbre.<\/li>\n<li>En lugar de t\u00e9rminos t\u00e9cnicos, usa un atractivo lenguaje de ventas y diapositivas con gr\u00e1ficos coloridos.<\/li>\n<li>Ofrece varias opciones, incluso aquellas que claramente no son viables.<\/li>\n<li>Pon toda la oferta en una \u00fanica p\u00e1gina: nadie leer\u00e1 m\u00e1s que eso.<\/li>\n<li>Usa sin\u00f3nimos para la expresi\u00f3n \u201cseguridad de la informaci\u00f3n\u201d: reducci\u00f3n de riesgos, garant\u00eda de la resistencia\/continuidad de los procesos de trabajo, mantenimiento de la eficiencia operativa, reducci\u00f3n del tiempo de inactividad, prevenci\u00f3n de da\u00f1os, etc.<\/li>\n<li>Utiliza los menos posible el lenguaje emocional y mant\u00e9n un estilo de comunicaci\u00f3n profesional y empresarial.<\/li>\n<\/ul>\n<h2>\u00bfQu\u00e9 hacer?<\/h2>\n<p>El saberse adaptar es la clave para una comunicaci\u00f3n comercial exitosa. Para ello, debes salir de tu burbuja especializada y aprender a hablar con los directivos usando el idioma y los contextos de su preferencia. Aunque quieran, no pueden profundizar en todos los detalles t\u00e9cnicos de cada departamento de la empresa. En cuanto al servicio de seguridad de la informaci\u00f3n, es importante reconocer que eres solo una parte de la empresa, por lo que debes saber c\u00f3mo funciona y ayudar a obtener los m\u00e1ximos ingresos con el menor coste.<\/p>\n<p>Y tambi\u00e9n vale la pena consultar los resultados de nuestro \u00faltimo <a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\">estudio de investigaci\u00f3n sobre la relaci\u00f3n entre los directivos y los gestores de seguridad TI<\/a> (en ingl\u00e9s).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La falta de comunicaci\u00f3n entre una empresa y su servicio de seguridad de la informaci\u00f3n puede generar p\u00e9rdidas innecesarias. Hoy intentamos averiguar c\u00f3mo superar esta barrera de comunicaci\u00f3n.<\/p>\n","protected":false},"author":2725,"featured_media":25858,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5,2795,3539,3540],"tags":[2642,3223,614,3546],"class_list":{"0":"post-25857","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-comunicacion","12":"tag-presupuesto","13":"tag-riesgos","14":"tag-soc"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/business-soc-communications\/25857\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/business-soc-communications\/25066\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/business-soc-communications\/20558\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/business-soc-communications\/27649\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/business-soc-communications\/25388\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/business-soc-communications\/28370\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/business-soc-communications\/34570\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/business-soc-communications\/46753\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/business-soc-communications\/20095\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/business-soc-communications\/20727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/business-soc-communications\/29750\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/business-soc-communications\/25795\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/soc\/","name":"SOC"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25857","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25857"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25857\/revisions"}],"predecessor-version":[{"id":25859,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25857\/revisions\/25859"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25858"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25857"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25857"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25857"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}