Durante demasiado tiempo, los líderes empresariales han visto la ciberseguridad a través de un lente estrecho de gestión de riesgos y amenazas. El enfoque se ha centrado en las entradas: inversiones en las últimas herramientas, personal y controles para mantener alejados a los atacantes. Sin embargo, si bien tales capacidades son necesarias, esta mentalidad no logra conectar los esfuerzos de ciberseguridad con un valor estratégico real de las empresas.
Los equipos de seguridad a menudo adoptan un enfoque tácticamente reactivo, persiguiendo cada nuevo tipo de malware o ataque. Se pierden en los detalles de añadir el último sistema de inteligencia artificial o firewall avanzado. Aun así, rara vez retroceden para preguntar: "¿Cómo están ayudando estos esfuerzos a alcanzar nuestras metas organizacionales más importantes?"
No hacer esta pregunta fundamental es la razón por la que a veces los equipos de seguridad luchan por justificar recursos, mantener un enfoque estratégico a largo plazo o disfrutar de un asiento influyente en la mesa ejecutiva. Para elevar la función estratégica de la ciberseguridad de las empresas, los líderes de seguridad deben cambiar fundamentalmente el enfoque hacia la definición y el logro de resultados positivos que se alineen y den lugar a objetivos empresariales prioritarios.
Los resultados se refieren a los resultados tangibles que ofrece la seguridad efectiva, como:
Reducción del impacto financiero de los ataques
Detección y respuesta más rápida a incidentes
Aumento de la confianza y lealtad de los clientes
Mayor productividad al prevenir los tiempos de inactividad
En contraste, las entradas son las inversiones realizadas para asegurar la organización, como herramientas, tecnologías, capacitación y personal. Las entradas son bloques de construcción cruciales. Sin embargo, los resultados es lo que realmente se logra con esas inversiones.
Piensa en las entradas frente a los resultados como conducir un coche. Las bolsas de aire avanzadas, los frenos y las capacidades de navegación son datos de entrada valiosos. Sin embargo, si no sabes a dónde vas —tu destino— esas funciones no ofrecen mucho valor. Los equipos de seguridad necesitan claridad sobre hacia dónde están dirigiendo la organización. Los resultados proporcionan esa dirección.
El enfoque más efectivo que he encontrado para definir los resultados estratégicos de ciberseguridad es trabajar hacia atrás. Esta técnica comienza por imaginar tu objetivo final y luego determinar qué necesita suceder para llegar allí paso a paso.
Por ejemplo, imagina que ha pasado un año y quieres que haya una interrupción mínima en la empresa debido a incidentes cibernéticos. ¿Cuáles son algunos resultados medibles que demostrarían que has alcanzado ese objetivo? Estos podrían incluir:
Respuesta promedio a incidentes un 20 % más rápida
Menos de dos horas de tiempo de inactividad debido a ataques cibernéticos por trimestre
Pagos por ransomware Zero
Con estos resultados definidos, ahora puedes trabajar hacia atrás para entender las capacidades y recursos necesarios para lograr esos resultados. ¿Qué herramientas o habilidades reducirían el tiempo de respuesta y el tiempo de inactividad? ¿Qué controles de acceso y copias de seguridad eliminarían los pagos de rescate?
El enfoque de trabajar hacia atrás proporciona claridad y enfoque. Comienzas con el destino de la empresa en mente en lugar de perderte en tácticas reactivas.
Una lucha común al justificar las inversiones en ciberseguridad es vincularlas con lo que realmente importa para la empresa. Los líderes de seguridad deben vincular los resultados directamente con las metas y objetivos prioritarios de la organización.
Por ejemplo, si los objetivos de alto nivel incluyen una rápida expansión en nuevos mercados y un desarrollo acelerado de productos, los resultados relevantes podrían ser:
Lanzar una plataforma en línea segura para nuevos mercados en 9 meses
Reducir los retrasos en los ciclos de lanzamiento de productos debido a problemas de seguridad en un 30 %
Esto asegura que los esfuerzos de seguridad se posicionen como un habilitador, no un obstáculo. Los recursos invertidos en capacidades que ayudan a dar soporte o impulsar resultados clave son mucho más fáciles de justificar.
Los resultados también deben ser cuantificables a través de las métricas y los KPI (Indicadores clave de desempeño). En lugar de decir, "Reduciremos el riesgo", se debe definir como "Reducir nuestro puntaje general de riesgo cibernético de 78 a 68 dentro de un año fiscal". Esto permite una medición real del progreso.
Las métricas que se despliegan a través de factores técnicos, financieros y empresariales son ideales:
Técnicas: detección de amenazas más rápida, menos vulnerabilidades de software
Financiera: reducción de costes por violaciones e incidentes
Empresariales: mayor ingreso debido a la confianza del cliente y tiempo de actividad
Llevar a cabo un análisis de realización de beneficios puede cuantificar aún más el lado positivo en áreas como la productividad mejorada, la reputación de la marca y el cumplimiento.
Una vez que se definen resultados claros, comienza el trabajo real: encontrar la combinación adecuada de personas, herramientas y tecnologías para hacer que esos resultados se hagan realidad. Esto exige vincular estrechamente la estrategia de seguridad con la ejecución sobre el terreno.
Las nuevas tecnologías como IA y la automatización pueden ayudar enormemente, pero solo si se enfocan deliberadamente en mover la aguja en resultados objetivo específicos, ya sea en tiempos de respuesta más rápidos o menos violaciones. De lo contrario, incluso las herramientas más avanzadas se convierten en consumidores de presupuesto inutilizados.
A veces, la mejor decisión no es comprar la nueva capacidad cibernética, sino simplificar o eliminar herramientas que se han convertido en distracciones. Consolidar proveedores duplicados en una plataforma unificada puede liberar presupuesto y, potencialmente, ancho de banda que anteriormente se desperdiciaba en integración y mantenimiento.
Realizar un seguimiento continuo del progreso a través de métricas proporciona retroalimentación crucial para refinar enfoques e inversiones. Si las capacidades específicas no están avanzando los resultados prioritarios, podrían requerir que se reconsideren o reasignen. Esta medición alimenta una estrategia de seguridad ágil y en constante evolución.
El enfoque permanece centrado en concretar los destinos definidos que crean valor empresarial. Con esa Estrella del Norte que orienta las decisiones, los líderes de seguridad pueden navegar con confianza el camino sinuoso que tienen por delante.
Centrar el enfoque de ciberseguridad en habilitar resultados en lugar de adquirir entradas es crítico para elevar su función estratégica. Los líderes empresariales necesitan que los equipos de seguridad sean responsables de resultados tangibles que soporten la misión de la organización.
Este enfoque externo en el impacto empresarial positivo también construye asociaciones internas cruciales en áreas como TI, finanzas, marketing, legal y otros grupos. Fomenta la colaboración para impulsar resultados de seguridad que mejoren los objetivos en toda la empresa.
Finalmente, centrarse en los resultados proporciona claridad incluso en momentos caóticos. Surgirán nuevas amenazas; las inversiones conllevarán riesgos. Con estos destinos definidos basados en las necesidades de la empresa, los líderes de seguridad pueden navegar con confianza el camino que tienen por delante.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
John Engates — @jengates, director técnico, Cloudflare
Después de leer este artículo podrás entender:
La diferencia entre los resultados y las entradas de la ciberseguridad
La necesidad de cambiar el papel de la seguridad, desde la gestión del riesgo hasta un impulsor estratégico del valor empresarial