Las personas de perfil técnico olvidamos a veces que la parte tecnológica es, normalmente, el apoyo a algún otro asunto o negocio que hay que llevar a cabo. Es importante, y muy necesaria (¿totalmente?), pero no es el objetivo.
Por eso es bueno leer textos como Cybersecurity as a Business Decision: A Manifesto donde se recuerdan estas cuestiones.
La ciberseguridad, nos dicen, es el elemento número uno en cualquier listado de inversiones en tecnología. No sólo eso, la ciberseguridad es un asunto del negocio, y no de tecnología. Sin embargo los comités de dirección no saben manejar la ciberseguridad en este contexto.
Cybersecurity is now the #1 spend item on the technology investment list. In 2022, 88% of boards say that cybersecurity is a business issue, not a technical one. Unfortunately, boards have no idea how to govern cyber AS a business issue and executives have no idea how to guide cyber investment as a business issue.
Nadie es capaz de explicar el valor para el negocio de los controles de seguridad y, por lo tanto, es difícil discutir sobre estas inversiones.
Bottom line, no one can explain the business value of a security control, so we can’t have an adult conversation about business investment in security.
La cuestión no es si hace falta más dinero (siempre seremos capaces de gastar más) sino de gastarlo de manera inteligente.
After all my board interactions, my conclusion is that we need smarter money, not just more money.
Una aproximación frecuente entre los especialistas en seguridad es la idea de que más seguridad es mejor.
Most damaging of all, security officers are trapped in a recurring and crippling ideology that MORE security is always better.
Pero, nos recuerda, cualquier incidente de ciberseguridad estará relacionado con un fallo en la toma de decisiones, no en la tecnología.
Look at any cybersecurity incident and you’ll find a failure of decision making, not a failure of technology.
Por ejemplo, casi ninguna organización hace pruebas de recuperación para sus actividades críticas. Es costoso, y arriesgado ‘apagar’ un negocio y verificar si somos capaces de activarlo de nuevo.
You know why most organizations don’t test their recovery processes for their critical functions? Because it’s very expensive and risky to take a fully functioning business system down to bare metal and hope that you can bring it back.
Por lo tanto, podríamos gastar tanto dinero como queramos en ciberseguridad y, sin embargo, recibir un ataque exitoso al día siguiente.
The reality is that you can spend every available dollar on cybersecurity and you could still get hacked tomorrow, because there is no such thing as perfect protection.
También podemos ponernos tan exigentes con la ciberseguridad que el trabajo no pueda llevarse a cabo. Y eso es un problema.
And he said “Oh, I get it, if we lock everything down so tightly that we start to take the tools away that people need, then we’ll hurt our business.” Exactly.
Así que hay que empezar a pensar en un escenario donde la pregunta correcta es: ¿cuál es la cantidad correcta de ciberseguridad? Porque está claro que no podemos ignorar el problema completamente.
Neither can you just ignore security. So the right question is “what is the right amount of security?”
Y cambiar el objetivo: no se trata de prevenir todos los ataques que puedan afectarnos, se trata de establecer un balance adecuado entre la protección y las necesidades de funcionamiento de la organización.
The real purpose of a security program is NOT to prevent the organization from being hacked, because that’s an impossible goal. The purpose of the security program is to balance the needs to protect with the needs run the business.
El problema actual es que invertimos en herramientas y capacidades, en lugar de en resultados.
Cybersecurity investment is broken because we invest in tools and capabilities, not outcomes. That has to change.
Modestamente, intentamos explicar estas ideas en Ciberseguridad: ocuparse para no preocuparse y nos vino bien el texto de Gartner para recordar estas preocupaciones.