Entrevista con Steve Durbin, director ejecutivo del Foro de Seguridad de la Información (ISF)
En respuesta a las amenazas cibernéticas en constante evolución, el Foro de Seguridad de la Información (ISF) ofrece servicios de consultoría, formación, certificaciones y actividades de apoyo profesional galardonados. Bajo el liderazgo del director ejecutivo, Steve Durbin, el ISF garantiza que todas las organizaciones miembro tengan acceso a las herramientas adecuadas para detectar, responder y resolver las amenazas actuales y emergentes.
Durbin tiene años de experiencia en estrategia corporativa, tecnología de la información y ciberseguridad, combinados con un gran enfoque en el panorama de amenazas emergentes. El Europeo Me reuní con él para comprender más sobre la implementación de una estrategia cibernética efectiva.
¿Cree que las organizaciones son más conscientes del valor de una buena estrategia de ciberseguridad? ¿Ha aumentado la concienciación?
Steve Durbin: Sí, en efecto. En los últimos años, ha habido un notable aumento de la conciencia sobre la importancia de contar con estrategias sólidas de ciberseguridad en las organizaciones. Esta mayor conciencia puede atribuirse, en parte, al cambio global hacia el trabajo remoto catalizado por eventos como la pandemia de COVID. La transición repentina al trabajo remoto subrayó la necesidad crítica de implementar procesos y controles de seguridad integrales para salvaguardar los datos confidenciales. Esta conciencia se extiende no solo a las grandes empresas, sino también a las medianas y pequeñas. Sin embargo, si bien la conciencia ha aumentado, sigue existiendo el desafío de demostrar de manera efectiva el valor tangible de las inversiones en ciberseguridad a los líderes empresariales.
Desde la perspectiva de la ISF, ¿qué es una buena estrategia cibernética y cómo debería ser en la práctica?
DAKOTA DEL SUR: Una estrategia cibernética sólida es aquella que se alinea perfectamente con la estrategia empresarial general de una organización. Implica la integración de medidas de ciberseguridad en las operaciones diarias para mejorar la generación de ingresos, el valor para los accionistas, la satisfacción de los empleados y los clientes y los objetivos generales de la organización. Además, una estrategia cibernética eficaz debe ser cuantificable, con métricas claras que demuestren su contribución al logro de los objetivos corporativos. Requiere la participación activa y la aceptación de todos los niveles de la organización, asegurando que cada individuo comprenda su papel en la implementación y el mantenimiento de las medidas de seguridad. Si bien algunas organizaciones han logrado avances significativos en la alineación de la ciberseguridad con la estrategia empresarial, otras aún están en el camino hacia el logro de esta alineación.
Antes se pensaba que la cuestión debía dejarse en manos de los expertos en tecnología. ¿Quién debería ser responsable de implementar una estrategia cibernética? ¿Debería ser una estrategia integral?
DAKOTA DEL SUR: La responsabilidad de impulsar la estrategia y la cultura de ciberseguridad no debe recaer únicamente sobre los hombros del personal técnico, sino que es una responsabilidad colectiva que se extiende a cada individuo dentro de una organización, ya que todos interactuamos con la tecnología de alguna manera. Sin embargo, la determinación de la dirección y el tono de las iniciativas de ciberseguridad recae principalmente sobre los hombros de la dirección ejecutiva, incluidos el director ejecutivo y la junta directiva. Deben promover una cultura de concienciación sobre ciberseguridad y proporcionar los recursos necesarios para su implementación. Este enfoque inclusivo fomenta la unidad entre los departamentos y subraya el papel fundamental que desempeña la ciberseguridad para lograr los objetivos organizacionales.
¿También le preocupa que quizás en algunos casos exista una falta de alineación entre las prioridades de ciberseguridad y los resultados comerciales?
DAKOTA DEL SUR: Sí, sigue siendo una preocupación importante. Esto suele deberse a una falta de alineación inicial entre las iniciativas de seguridad y las estrategias empresariales generales. Para abordar este problema, las organizaciones deben priorizar la participación de profesionales de la ciberseguridad desde el inicio de cualquier proyecto para garantizar la alineación con los objetivos empresariales. Además, la comunicación eficaz es esencial para salvar la brecha entre el lenguaje técnico de la seguridad y el lenguaje que entienden los líderes empresariales. Al fomentar una comprensión común del impacto de la ciberseguridad en los resultados empresariales, las organizaciones pueden mitigar la falta de alineación y mejorar la eficacia general.
¿Cómo cree que los líderes pueden garantizar que todos comprendan la importancia de ese concepto de seguridad y se sientan emocionalmente involucrados para que la protección de una empresa sea un esfuerzo colectivo genuino?
DAKOTA DEL SUR: Para crear una cultura de ciberseguridad es necesario que cada persona de la organización se familiarice con ella, lo que implica ofrecer retroalimentación en tiempo real y capacitación personalizada para mejorar la concienciación y la responsabilidad. Las simulaciones y los ejercicios de ciberseguridad deben adaptarse al rol de cada empleado, haciendo hincapié en su papel fundamental en la protección de los activos de la organización. Además, los líderes deben alinear los conceptos de seguridad con los valores y las responsabilidades personales de las personas, asegurándose de que todos comprendan las implicaciones más amplias de sus acciones. Al fomentar la inversión emocional y la relevancia personal, las organizaciones pueden cultivar un esfuerzo colectivo genuino para proteger el negocio.
Desde su perspectiva como experto en seguridad, ¿con qué frecuencia cree que se deben probar las estrategias de ciberseguridad dado que las cifras de amenazas evolucionan constantemente?
DAKOTA DEL SUR: Dada la naturaleza dinámica de las amenazas de ciberseguridad, es imperativo probar periódicamente las estrategias de ciberseguridad. Los componentes clave, como las revisiones de políticas, las pruebas de defensa y los ejercicios de simulación de ciberseguridad, deben realizarse al menos una vez al año para garantizar su eficacia. Además, las organizaciones deben contratar a expertos externos para que realicen evaluaciones exhaustivas y proporcionen información sobre las amenazas en evolución. Al probar y perfeccionar de manera proactiva las medidas de ciberseguridad, las organizaciones pueden mejorar su resiliencia y su preparación para mitigar las amenazas emergentes.
¿Cuánto cuesta no sólo implementar una buena estrategia, sino también mantenerla?
DAKOTA DEL SUR: Varía según el tamaño de la organización, la industria y el perfil de riesgo. En lugar de adherirse a porcentajes predeterminados de gasto en tecnología, las organizaciones deberían priorizar la protección de sus activos críticos en función de su panorama de riesgos único. Esto implica identificar y salvaguardar los activos esenciales para garantizar la continuidad del negocio y minimizar las posibles pérdidas. Si bien las inversiones en ciberseguridad son esenciales, deben estar alineadas con los objetivos estratégicos generales de la organización para maximizar su valor y eficacia.
Dado el creciente panorama regulatorio, ¿cómo pueden las empresas mantenerse al día con las regulaciones y las presiones para actualizar su seguridad, especialmente si operan en múltiples geografías?
DAKOTA DEL SUR: Mantenerse al día con las regulaciones cambiantes y los requisitos de cumplimiento es esencial para las organizaciones que operan en múltiples geografías. Esto implica monitorear activamente los desarrollos regulatorios y colaborar con expertos legales y de cumplimiento para garantizar el cumplimiento de las normas pertinentes. Además, las organizaciones deben aprovechar las asociaciones y foros de la industria para mantenerse informadas sobre las tendencias regulatorias emergentes y las mejores prácticas. Al adoptar un enfoque proactivo para el cumplimiento regulatorio, las organizaciones pueden mitigar los riesgos y mantener su reputación en un panorama regulatorio cada vez más complejo.
¿Diría usted que los inversores son probablemente más receptivos a aquellas empresas que tienen estrategias de ciberseguridad creíbles y que se sienten más cómodos invirtiendo su dinero si hay evidencia de que estas empresas están haciendo todo lo correcto?
DAKOTA DEL SUR: Si bien los inversores reconocen cada vez más la importancia de la ciberseguridad, sus decisiones de inversión suelen estar impulsadas por factores como el rendimiento de la inversión y el desempeño del mercado. Sin embargo, las empresas con estrategias sólidas de ciberseguridad pueden disfrutar de una ventaja competitiva al demostrar su compromiso con la protección de datos confidenciales y la mitigación de riesgos. Si bien la ciberseguridad puede no ser el único factor determinante de las decisiones de inversión, puede influir positivamente en la confianza de los inversores y mejorar la reputación general de la organización.
Sin mencionar nombres, ¿hay alguna empresa en particular cuyo enfoque de la ciberseguridad le haya impresionado? ¿Cree que su enfoque ofrece un posible modelo a seguir para otras?
DAKOTA DEL SUR: Las organizaciones de sectores como los servicios financieros y las empresas emergentes han demostrado adoptar enfoques encomiables en materia de ciberseguridad. Estas organizaciones priorizan la ciberseguridad de arriba a abajo, integrándola sin problemas en sus estrategias y operaciones comerciales. Además, invierten en medidas de seguridad sólidas y fomentan una cultura de concienciación sobre la ciberseguridad en todos los niveles de la organización. Si bien las necesidades de ciberseguridad de cada organización son únicas, estos enfoques ejemplares sirven como modelos valiosos para que otros los emulen y adapten a sus contextos específicos.
De cara al futuro, ¿cuáles son las principales amenazas que las organizaciones deben tener en cuenta? ¿La presencia de la IA ha hecho que la situación de seguridad sea más peligrosa?
DAKOTA DEL SUR: Las amenazas a la ciberseguridad siguen evolucionando, y las amenazas tradicionales como el malware, el ransomware y el phishing siguen siendo frecuentes. Sin embargo, la aparición de tecnologías como la inteligencia artificial (IA) introduce nuevas complejidades y amenazas potenciales. Si bien la IA en sí no es intrínsecamente peligrosa, los actores de amenazas pueden aprovecharla para mejorar la sofisticación y la escala de los ciberataques. Las organizaciones deben permanecer alertas y adoptar soluciones de seguridad impulsadas por la IA para contrarrestar eficazmente las amenazas emergentes. Además, priorizar la resiliencia y las medidas de continuidad empresarial puede mitigar el impacto de los posibles incidentes cibernéticos, lo que garantiza la continuidad y la sostenibilidad de la organización frente a las amenazas en evolución.
¿Se están uniendo más empresas a ISF porque la IA ha aumentado los riesgos que usted ha descrito?
DAKOTA DEL SUR: Si bien la IA presenta nuevos desafíos en materia de ciberseguridad, las empresas se suman a ISF por diversas razones, más allá de los riesgos relacionados con la IA. ISF ofrece una comunidad de apoyo, recursos valiosos y experiencia en ciberseguridad y gestión de riesgos. Independientemente de las amenazas específicas, las organizaciones reconocen la importancia de la colaboración y el intercambio de conocimientos para navegar por el complejo panorama de la ciberseguridad. ISF ofrece una plataforma para que las organizaciones mejoren sus capacidades y resiliencia en materia de ciberseguridad, garantizando la preparación para abordar las amenazas emergentes de manera eficaz.
Acerca de Steve Durbin
Steve Durbin es el director ejecutivo del Information Security Forum (ISF). Sus principales áreas de interés son la estrategia, la tecnología de la información, la ciberseguridad y el panorama emergente de amenazas a la seguridad en entornos corporativos y personales. Es un orador y comentarista frecuente sobre cuestiones de tecnología y seguridad. Anteriormente trabajó en Ernst & Young y ha participado en IPOs, fusiones y adquisiciones de empresas de rápido crecimiento en Europa y Estados Unidos. Habiendo sido vicepresidente sénior de Gartner, ha asesorado a varias empresas tecnológicas globales que cotizan en NASDAQ y NYSE.
Más información
www.securityforum.org