A veces es necesario un gran golpe para que todo el mundo se sume a las iniciativas de seguridad cibernética.
El 60 % de las pymes que sufren una brecha de seguridad cibernética se ven forzadas a cerrar. Lo que significa, especialmente para usted, que es mejor prevenir que curar.
Ayude a su junta directiva a comprender las amenazas de seguridad que puedan afectar a su organización en particular. No pierda demasiado tiempo presentando estadísticas y tendencias genéricas. En su lugar, ayúdeles a ver la conexión entre esas tendencias de seguridad y los retos que son muy específicos de su empresa y su sector. Cuanto más contexto pueda proporcionar, más relevante será para ellos.
Por ejemplo, puede hablarles de la mayor fuente de ingresos de su empresa y darles ejemplos de cómo las amenazas de seguridad como el ransomware podrían suponer una amenaza. Si su empresa conserva datos confidenciales, como registros financieros, podría mostrar ejemplos de las implicaciones legales y las multas en las que podría incurrir su organización si dichos datos se hicieran públicos.
Muéstreles cómo funciona un ataque, lo fácil que puede ser comprometer la seguridad. Ofrézcales ejemplos reales de los problemas a los que ya se enfrentan, así como de los riesgos y los efectos a largo plazo que podrían tener esos problemas.
A los ejecutivos les gustan sus métricas y sus números. Por lo tanto, es importante que alinee sus prioridades de seguridad con los objetivos y los plazos de su empresa. Conozca sus prioridades empresariales y de TI y muestre cómo puede ayudarle la seguridad a conseguirlas.
Muestre también el otro lado: cómo puede un incidente de seguridad poner sus planes en riesgo. Por ejemplo, si está a punto de lanzar un nuevo producto, ¿cuáles son los posibles daños para su empresa de que esa propiedad intelectual se haga pública o se destruya?
De hecho, no tiene que ser un problema hipotético. Si puede cuantificar de qué forma los problemas de seguridad existentes ya le están costando a su negocio, entonces eso le da un argumento aún mejor.
Es poco probable que obtenga todo lo que necesita de una única conversación. Haga su comunicación simple y frecuente. Establezca actualizaciones periódicas e informe con frecuencia sobre las métricas pertinentes. No tenga miedo de repetir y probar unos cuantos ángulos diferentes hasta que el mensaje cale y consiga los fondos y el apoyo que necesita.
En muchos casos, los profesionales de la seguridad tienen problemas para hablar el mismo idioma que su junta directiva y ayudarles a entender por qué necesitan dar prioridad a la inversión en seguridad. Cuando un ataque cibernético público ocurre y los ejecutivos ven el daño multidimensional que causa, entonces esos motivos para invertir se vuelven muy claros. Las conversaciones (y los cambios) ocurren a un ritmo mucho más rápido cuando todos entienden el problema.
Aquí es donde leyes tales como el Reglamento general sobre la protección de datos (GDPR), que entró en vigor en mayo de 2018, pueden ayudar a mejorar la seguridad.
Las empresas que ya están invirtiendo en seguridad pueden no tener mucho de qué preocuparse, ya que probablemente vayan por buen camino para cumplir con la ley (en el aspecto de la seguridad del GDPR). Por otro lado, para aquellas organizaciones que han estado luchando para obtener fondos para invertir, el GDPR ofrece una gran oportunidad para que los profesionales de la seguridad y los principales líderes de la seguridad estén en la misma sintonía. Las nuevas legislaciones como ésta están obligando a las empresas a cumplir unas normas mínimas, lo que ayudará a respaldar una mayor innovación tecnológica en el futuro.
La privacidad de datos y seguridad de TI no solo son requisitos normativos, sino también demandas del cliente. Cada vez es más frecuente que las empresas reciban preguntas de sus clientes sobre cómo están manejando sus datos. Hay una relación de confianza, una suposición de que la empresa que recibe sus datos se preocupará por ellos. La ley solo está ahí para garantizar que las empresas hagan todo lo posible por respetar esa confianza.