En información recientemente publicada por Kaspersky Lab se destaca que si bien el entendimiento entre directivos y especialistas en ciberseguridad está creciendo en general, aún existen problemas.
- El 98% de los representantes empresariales encuestados experimentaron algún tipo de malentendido con el servicio de seguridad TI, como consecuencia directa se habría provocado al menos un incidente de seguridad en el 62% de los casos. El 61% informó de impactos negativos en la empresa, incluidas las pérdidas, el abandono de empleados clave o un deterioro de la comunicación entre departamentos.
- Al 42% de los líderes empresariales les gustaría que los especialistas en seguridad se comunicaran con más claridad, y el 76% de estos especialistas está seguro de que todos los entienden perfectamente.
Con frecuencia hay problemas con el lenguaje utilizado: los directivos no suelen entender todos los tecnicismos que usan los servicios de seguridad TI. Pero la terminología no es el único problema y tampoco es el problema principal.
Diferente concepción del riesgo
La mayoría de los especialistas en ciberseguridad tienen un umbral de tolerancia al riesgo muy bajo. Pero en los negocios, ocurre lo contrario: sin riesgo, no hay beneficio, por lo que los directivos a menudo están dispuestos a asumir mayores riesgos. Para el jefe, el objetivo principal es encontrar el equilibrio ideal entre las ganancias y las pérdidas potenciales. El verdadero objetivo del departamento de seguridad, por extraño que parezca, no es eliminar todas las amenazas, sino ayudar a la empresa a ganar tanto como sea posible.
Desde el punto de vista empresarial, los riesgos pueden aceptarse, evitarse, reducirse o transferirse (por ejemplo, a las aseguradoras). Los directivos intentarán tomar los máximos riesgos posibles para aumentar las ganancias. Para ellos, la seguridad de la información es solo una pequeña parte de la imagen, de hecho, probablemente ni siquiera quieran pensar en ello.
Por lo tanto, los especialistas en TI no deben pensar en cómo cerrar todas las brechas, sino en cómo identificar y neutralizar aquellas amenazas que realmente puedan causar daños graves a la empresa. En consecuencia, también deberían pensar en cómo explicar a los directivos por qué vale la pena gastar dinero en resolver algo.
Miedo, incertidumbre y duda, no funcionan
Tratar de persuadir a los directivos usando tácticas de miedo, incertidumbre y duda (FUD por sus siglas en inglés) no va a funcionar, ya que la empresa no paga para que los asusten. Los especialistas están para resolver problemas y, mejor aún, para que nadie se dé cuenta de que hay alguno.
Otro problema con el uso del concepto FUD es que los directivos ya andan bastante estresados por el hecho de que cualquier error podría ser el último; por ejemplo, hay muchas personas alrededor que aprovecharían la oportunidad para ocupar su lugar, por lo que no pueden confiar en cualquiera.
A ningún jefe le gusta demostrar que no sabe de algo. Por tanto, cualquier intento de bombardear a la dirección con términos que desconocen está condenado al fracaso.
Pensar como empresa
El objetivo principal de cualquier empresa comercial es ganar dinero, por lo que los directivos ven todo desde este punto de vista. Por lo tanto, si un especialista en ciberseguridad les dice: “ha aparecido una amenaza y necesitamos invertir X cantidad de los fondos para neutralizarla”, lo que escucha es “si nos arriesgamos y no hacemos nada, ahorraremos X cantidad de dinero”. Suena extraño, pero así es exactamente cómo piensan las empresas.
Por lo tanto, la situación debe presentarse de forma diferente: “Existe una amenaza con una probabilidad del Z % de causar un daño Y al negocio. Necesitamos gastar X para neutralizarlo”. Esta es una ecuación que tiene sentido en la mentalidad empresarial.
Por supuesto, no siempre es posible predecir de forma realista el costo del daño potencial, por lo que se pueden usar valores conocidos como el tiempo de inactividad (durante el cual se atenderían las consecuencias del incidente), la cantidad y el tipo de datos que podrían perderse o comprometerse, las pérdidas de reputación, etc. Después, la empresa podrá convertir esta información en números comprensibles, con la ayuda de especialistas o si es posible, el equipo de seguridad TI por sí mismo.
Siempre existe la posibilidad de que la ecuación no funcione a favor de la seguridad de la información. Esto no siempre es un problema de falta de comunicación; puede que la directiva escuche y entienda todo perfectamente, pero sea más rentable correr el riesgo.
La clave aquí es tener una buena comprensión de la posición del servicio de seguridad TI dentro de la empresa y las ganancias que genera. Esto permitirá evaluar y clasificar mejor las posibles amenazas para evitar la pérdida de tiempo en iniciativas que claramente no llegarán a ningún lado. En general, trabajar de forma más eficiente.
Factor tiempo
Para la seguridad, el factor tiempo es crucial: algunas amenazas deben protegerse de inmediato. Pero el tiempo también es importante para las empresas, donde el tiempo es dinero.
Incluso aunque la directiva comprenda el problema y sepa que debe resolverse, no se apresurarán a gastar dinero a menos que se les dé una fecha límite clara y bien argumentada. También deben saber que, una vez vencido el plazo, automáticamente deben asumir la responsabilidad por el riesgo en específico, ya que entonces la seguridad de la información solo puede limpiar las consecuencias.
Este plazo debe ser lo más realista posible. Si la seguridad de la información siempre exige que se tome una decisión “para ayer”, la directiva dejará de escuchar y los tratará como el niño del cuento del lobo. Y si siempre dice “bueno, tienes un año para pensártelo”, los despedirán después del próximo incidente (o inmediatamente). Es importante poder evaluar y establecer el plazo real y resaltar los riesgos potenciales.
Vale la pena señalar que muy pocas empresas guardan dinero de reserva en sus cuentas, esperando que el director de seguridad de la información venga y les diga dónde gastarlo lo antes posible. Los fondos para resolver problemas tendrán que tomarse de alguna parte, y esto puede llevar un tiempo. Por cierto, para entender este tiempo, también es importante saber cómo funciona y se financia una empresa.
Marketing
Para comunicar correctamente, los especialistas en ciberseguridad deben tener algunas habilidades de marketing; así podrán vender sus soluciones a los jefes.
- Ofrecer una solución, no un problema. Obviamente, no se puede vender un problema.
- Siempre que sea posible, apoyarse en precedentes reales y fácilmente comprobables. A los directivos les encantan: reducen la incertidumbre.
- En lugar de términos técnicos, utilizar un lenguaje atractivo de ventas y diapositivas con gráficos coloridos.
- Ofrecer varias opciones, incluidas las que son claramente inviables.
- Poner toda la oferta en una única página: nadie leerá más que eso.
- Utilizar sinónimos para la expresión “seguridad de la información”: reducción de riesgos, garantía de la resistencia/continuidad de los procesos de trabajo, mantenimiento de la eficiencia operativa, reducción del tiempo de inactividad, prevención de daños, etc.
- Utilizar el mínimo lenguaje emocional posible y mantener un estilo de comunicación profesional y empresarial.
Finalmente, las habilidades blandas son la clave para una comunicación comercial de éxito. Para ello, se debe salir de la burbuja especializada y aprender a hablar con los directivos usando el idioma y contextos de su preferencia. Aunque quieran, no pueden profundizar en todos los detalles técnicos de cada departamento de la empresa. En cuanto al servicio de seguridad TI, es importante reconocer que es solo una parte de la empresa, por lo que se debe ayudar a obtener los máximos ingresos con el coste mínimo.
Fuente https://www.kaspersky.es/blog/business-soc-communications/28370/