Intelligent CIO LATAM Issue 6 - Page 55

DESTACADO : CIBERSEGURIDAD ciberataques que podrían , dependiendo del país , convertirse en un ciberdelito .
¿ Cómo involucrarse ?
Alguna vez , conversaba con un consejero de una de las entidades financieras más grandes de México . Inició con una charla sobre aviación , un tema que ambos atesoramos como pilotos privados por entretenimiento . La charla cambió hacia el tema de ciberseguridad , donde me confesó que el problema principal es que los directivos no quieren hablar sobre ciberseguridad porque no entienden el riesgo , no saben cómo tratarlo y que cuando llega el especialista , no es capaz de explicar hacia el negocio el riesgo y dónde se encuentra la organización .
Inmediatamente , le dije que yo lo veía también desde la perspectiva opuesta . Los especialistas no tenían identificado el riesgo al negocio , lo veían como riesgo tecnológico , riesgo a lo que ven del vecino o lo que les dice el proveedor . Si a eso le sumamos el tema de la problemática de no hablar el lenguaje del negocio , será casi imposible lograr la disminución de la brecha entre los directivos o tomadores de decisiones del negocio y los especialistas en ciberseguridad .
Todo esto es cíclico , es constante .
Entonces , ¿ qué hacer como directivo para involucrarse más ? ¿ Qué hacer para tener más visibilidad de estos riesgos ?
Los directivos tienen que entender a muy alto nivel los riesgos en los procesos críticos de la organización . Buscar que se tengan indicadores de desempeño de ciberseguridad , apoyar la concientización dentro de la organización , siendo los primeros en acatarlas y comprometerse e involucrarse en el tema .
Involucrarse de tal forma que permita validar la ciberseguridad de la organización , preguntando reiterativamente al equipo de especialistas :
Andrés Velásquez , fundador de MaTTica
Le comenté que , ante el gusto común por la aviación , sería muy retador llegar a volar una avioneta a la que no se le ha realizado una revisión en tierra . Que imaginara llegar , subirse e iniciar la carrera de despegue y , ya en el aire , que buscara cómo revisar si se tiene combustible o el nivel correcto de aceite . Su cara cambió inmediatamente : “ Ni loco , es muy riesgoso ” me respondió .
Eso es lo que se está haciendo en ciberseguridad , se está tratando de resolver algunas cosas cuando ya están en etapas productivas que pueden poner en riesgo a la organización . Si a eso le agregamos que , a diferencia del riesgo operacional , basado en estadísticas desactualizadas y en cambios hasta cierto punto controlables , el riesgo en ciberseguridad es cambiante y que en muchos casos no podemos saber qué hacer ante un ataque nuevo , entonces tenemos que ser más ágiles y claros .
Al final del día , todo evoluciona y todo va cambiando .
No me imagino que implemente usted seguridad para su casa y no esté haciendo cambios o mejoras cuando se entera que al vecino le acaba de pasar algo .
Pero tampoco me imagino que los autos sean , en temas de seguridad , como lo fueron cuando éramos pequeños , sin cinturones de seguridad o sin nuevas tecnologías para protegernos .
• ¿ Cuáles son las amenazas más importantes para las líneas de negocio que tenemos ?
• ¿ Qué estamos haciendo para mitigar estos riesgos y qué tan efectivas son estas contramedidas ?
• ¿ Cuál es el riesgo residual y qué vamos a hacer con él ?
• ¿ Hemos hecho ejercicios para medir la efectividad ?
Todo esto permitirá tener una conversación con los especialistas , pero también que ambos tengan en la mente : qué hacer y entender que va a pasar . p

EL RIESGO EN CIBERSEGURIDAD ES CAMBIANTE Y QUE EN

MUCHOS CASOS NO PODEMOS SABER QUÉ

HACER ANTE UN ATAQUE NUEVO , ENTONCES

TENEMOS QUE SER MÁS ÁGILES Y CLAROS .

www . intelligentcio . com / latam-es INTELLIGENTCIO LATAM 55