Rosina Ordoqui, CEO de Hacknoid.
Desde los inicios de la ciberseguridad, el problema en distinta magnitud se refiere al ROI de esta inversión, es decir, al retorno que se pueda cuantificar a la hora de mostrar cómo esta beneficiará a la empresa. “Y es que, si bien los temas de prevención en ciberseguridad podrían ser vistos como un seguro, así como las empresas destinan dinero a otro tipo de prevenciones -que o bien están reguladas, o bien ya hace mucho tiempo que existen en el mundo empresarial y por tanto se han incorporado a los procesos de forma ya más natural, sin tanto cuestionamiento- no sucede lo mismo con este “nuevo” y exponencial mundo de la ciberseguridad y su valor”, explica Rosina Ordoqui, CEO de Hacknoid.
A su juicio, la falta de conciencia interna de los puestos de toma de decisión es un factor determinante a la hora de optar por invertir de forma proactiva en la ciberseguridad. “Esto requiere, además de un entendimiento del rol que juega la ciberseguridad por debajo de todas las operaciones con base tecnológica de una organización, ejemplos reales de ataques, como los que hoy están sucediendo en el mundo”, añade. Actualmente, estos son cada vez más cercanos y suficientemente cuantificables en cuanto a las pérdidas que han sufrido diversas empresas, de distintos rubros.
Según explica la ejecutiva, esta actividad recae normalmente en el rol del CISO cuando estos no están preparados para entender el tema o la dinámica de sus propias preocupaciones, llevando a que no puedan ahondar en los mismos y comprender de forma detenida la gravedad subyacente.
Pérdidas económicas derivadas de procesos detenidos, recursos humanos subutilizados por detención de producción, recursos especializados que deben contratarse de forma urgente y costosa para subsanar las fallas, pérdidas por la afectación sobre la marca o desconfianza en la misma, y muchas más que podríamos enumerar sensiblemente, son causas que hoy más que nunca se hacen reales y visibles para poder mostrar internamente como la ciberseguridad se ha transformado en un factor a considerar a la hora de invertir, y ojalá que de la forma más preventiva posible, porque de ello depende la continuidad del negocio en gran medida.
Los errores
Para la ejecutiva, el error o falta muchas veces está en la capacidad de lograr transmitir esta conciencia hacia los tomadores de decisión y luego también hacia el personal de la empresa en general, de manera de lograr una contención 360º frente a alguna amenaza.
“Para lograr que se tomen en cuenta las iniciativas internas, sin embargo, no hay mayor impulso que el alcanzar el nivel de conciencia y madurez necesarios en la cúpula de la organización, porque realmente pocas iniciativas vendrán del personal si es que no se considera una prioridad desde arriba”, agrega.
En opinión de la CEO de Hacknoid, “nuevamente siguen siendo acciones que están dentro del ámbito de lo preventivo y proactivo, dentro de la capacitación en nuevas tendencias que no son directamente vistas desde el “core” de las organizaciones y, por tanto, cuesta ponerlas en agenda en etapas tempranas, a pesar de que la mayoría saben que pagar las consecuencias de un ataque exitosamente perpetuado es exponencialmente más caro que haberlo prevenido. El problema radica aun de un paso previo: un análisis de riesgos correctamente implementado, abriría los ojos a este tipo de prioridades”.
Añade que quizás, si llegásemos a un nivel más profundo de responsabilidad sobre el tema, la problemática radica en la comunicación y organización, en donde los roles de seguridad, análisis de riesgos y auditoría quedan relegados a posiciones técnicas cuando no deberían serlo, y conversan en un mundo que no trasciende hasta quienes deberían escucharles.
¿Cómo los CISOs pueden mostrar el retorno de esta inversión y beneficios de este tipo de proyectos a la alta gerencia? “Con Hacknoid tenemos un par de métricas muy sencillas de poder visualizar e impulsar una decisión”, explica Rosina Ordoqui.
“Si bien el costo de la herramienta por IP (dirección de red de cualquier dispositivo conectado, que podría eventualmente oficiar de puerta de entrada a un ataque) es muy bajo en comparación con cualquier escenario que pueda plantearse de ataque o disrupción de los sistemas u operaciones, más sencillo que esto, es la comparación de un recurso humano que eventualmente se dedicara constante y continuamente a revisar y buscar vulnerabilidades, alertar y programar la remediación (o dos, según el tamaño de la compañía), es sensiblemente mayor a contar con una herramienta como Hacknoid”, enfatiza.
Para que no existan confusiones: aquí no se trata de sustituir al recurso humano especializado, sino a colaborar en su ardua tarea de resolver toda la problemática de ciberseguridad que no se limita solo a la detección y priorización, sino que requiere de su enorme esfuerzo para la remediación, en donde sí el factor humano es esencial para lograr resultados ajustados a la organización e infraestructura. “En todo caso, lo ideal es un mix que contemple una plataforma de apoyo a la gestión del o los especialistas que se complementan. Pero sí, definitivamente, no sumar especialistas donde las tareas son automatizaciones”, comenta.
En este contexto, y antes que todo lo mencionado, el CISO debería estar posicionado dentro del “organigrama” reportando directamente a los tomadores de decisión. “Solo allí puede ser seriamente tomado en cuenta, impactar y no actuar de juez y parte de una estructura que lo condiciona”, advierte la profesional de Hacknoid.
“Independiente de lo anterior: bregar por la conciencia, la notoriedad y habilitación del negocio es siempre su misión mayor”, concluyó la ejecutiva.
