Cómo mejorar la comunicación entre el personal de seguridad de la información y la directiva

La falta de comunicación entre una empresa y su servicio de seguridad de la información puede generar pérdidas innecesarias. Hoy intentamos averiguar cómo superar la barrera de la comunicación.

Ninguna empresa puede operar correctamente sin una cooperación fluida entre la dirección general y los especialistas responsables de las diferentes áreas empresariales. Por supuesto, dicha cooperación requiere comunicación, lo que a veces puede ser difícil, ya que los gerentes y especialistas trabajan en diferentes burbujas de información y, a menudo, hablan diferentes idiomas. La directiva piensa en las ganancias, los costes y el desarrollo; los especialistas, y el servicio de seguridad de la información no es una excepción, piensan en sus tareas técnicas específicas.

Un estudio reciente realizado por nuestros compañeros demostró que, si bien el entendimiento mutuo entre los directivos y los especialistas en seguridad de la información está creciendo en general, aún siguen existiendo problemas. De hecho, el 98 % de los representantes empresariales encuestados afirmaron haber experimentado algún tipo de malentendido con el servicio de seguridad de la información al menos una vez que, como consecuencia directa, habría provocado al menos un incidente de seguridad en el 62 % de los casos, mientras que el 61 % informó de impactos negativos en la empresa, incluidas las pérdidas, el abandono de empleados clave o un deterioro de la comunicación entre departamentos. A su vez, los propios profesionales de la seguridad no siempre son conscientes de los problemas: al 42 % de los líderes empresariales les gustaría que los especialistas en seguridad se comunicaran con más claridad, ¡pero el 76 % de estos especialistas está seguro de que todos los entienden perfectamente!

A menudo hay problemas con el lenguaje utilizado: los directivos no suelen entender todos los tecnicismos que usan los servicios de seguridad de la información. Pero la terminología no es el único problema en su comunicación; de hecho, ni siquiera es el problema principal. Intentemos comprender el resto de problemas con la ayuda de Patrick Miller, socio gerente de Archer International, y su discurso en la Kaspersky Industrial Cybersecurity Conference del 2019.

Una concepción del riesgo muy diferente.

La mayoría de los especialistas en seguridad de la información tienen un umbral de tolerancia al riesgo muy bajo. Pero en los negocios, ocurre lo contrario: sin riesgo, no hay beneficio, por lo que los directivos a menudo están dispuestos a asumir mayores riesgos. Para el jefe, el objetivo principal es encontrar el equilibrio ideal entre las ganancias y las pérdidas potenciales. El verdadero objetivo del departamento de seguridad, por extraño que parezca, no es eliminar todas las amenazas, sino ayudar a la empresa a ganar tanto como sea posible.

Desde el punto de vista empresarial, los riesgos pueden aceptarse, evitarse, reducirse o transferirse (por ejemplo, a las aseguradoras). Los directivos intentarán tomar los máximos riesgos posibles para aumentar las ganancias. Para ellos, la seguridad de la información es solo una pequeña parte de la imagen, de hecho, probablemente ni siquiera quieran pensar en ello.

Por lo tanto, los especialistas en seguridad de la información no deben pensar en cómo cerrar todas las brechas, sino en cómo identificar y neutralizar aquellas amenazas que realmente puedan causar daños graves a la empresa. Y, en consecuencia, también deberían pensar en cómo explicar a los directivos por qué vale la pena gastar dinero en resolver algo.

El miedo, la incertidumbre y la duda no funciona

Tratar de persuadir a los directivos usando tácticas de miedo, incertidumbre y duda (FUD por sus siglas en inglés) no va a funcionar, ya que la empresa no paga al servicio de seguridad de la información para que los asusten. Los especialistas están para resolver problemas y, mejor aún, para que nadie se dé cuenta de que haya ninguno.

Otro problema con el uso del concepto FUD es que los directivos ya andan bastante estresados, simplemente por el hecho de que cualquier error que cometan podría ser el último; por ejemplo, hay muchas personas alrededor que aprovecharían la oportunidad para ocupar su lugar, por lo que no pueden confiar en cualquiera. Por tanto, no necesitan ningún factor de miedo adicional.

Y, por último, a ningún jefe le gusta demostrar que no sabe de algo. Por tanto, cualquier intento de bombardear a la dirección con términos que suenen inteligentes obviamente está condenado al fracaso.

Piensa como una empresa

El objetivo principal de cualquier empresa comercial es ganar dinero, por lo que los directivos miran todo desde este punto de vista, es lo que saben hacer. Por lo tanto, si un especialista en seguridad de la información se les acerca y les dice: “ha aparecido una amenaza y necesitamos invertir X cantidad de los fondos para neutralizarla”, lo que escucha es “si nos arriesgamos y no hacemos nada, ahorraremos X cantidad de dinero”. Suena loco, pero así es exactamente cómo piensan las empresas.

Para el directivo, es esencial que cualquiera de sus acciones (o inacciones) dé como resultado números financieros positivos, incluso aunque esta cifra positiva resulte de la diferencia entre dos negativos. Por lo tanto, la situación debe presentarse de una forma que pueda comprender: “Existe una amenaza con una probabilidad del Z % de causar un daño Y al negocio. Necesitamos gastar X para neutralizarlo”. Esta es una ecuación que tiene sentido en la mentalidad empresarial.

Por supuesto, no siempre es posible predecir de forma realista el coste del daño potencial, por lo que puedes usar valores conocidos como el tiempo de inactividad (durante el cual se limpiarían las consecuencias del incidente), la cantidad y el tipo de datos que podrían perderse o comprometerse, las pérdidas de reputación, etc. Después, la empresa podrá convertir esta información en números comprensibles, con la ayuda de especialistas. Pero es mejor si el equipo de seguridad de la información puede hacerlo por sí mismo, ya que se ahorra mucho tiempo.

Naturalmente, siempre existe la posibilidad de que la ecuación no funcione a favor de la seguridad de la información. Esto no siempre es un problema de falta de comunicación; puede que la directiva escuche y entienda todo perfectamente, pero sea más rentable correr el riesgo. Eso o que la seguridad de la información no haya podido argumentar de forma convincente su posición dado que no ha aprendido a pensar como una empresa.

La clave aquí es tener una buena comprensión de la posición del servicio de seguridad de la información dentro de la empresa y las ganancias que genera. Esto permitirá evaluar y clasificar mejor las posibles amenazas, evitar la pérdida de tiempo y los nervios propios y ajenos en iniciativas que claramente no llegarán a ningún lado y, en general, trabajar de forma más eficiente.

El factor tiempo y los plazos

Para la seguridad, el factor tiempo es crucial: algunas amenazas deben protegerse de inmediato. Pero el tiempo también es importante para las empresas, donde el tiempo es dinero. Hoy puedes gastar X cantidad de dinero antes mencionada, pero si lo haces en un mes, entonces, en manos hábiles, X se convertirá en X*n y X*(n-1) permanecerá en el banco.

Incluso aunque la directiva comprenda el problema y sepa que debe resolverse, no se apresurarán a gastar dinero a menos que se les dé una fecha límite clara y bien argumentada. También deben saber que, una vez vencido el plazo, automáticamente deben asumir la responsabilidad por el riesgo en específico, ya que entonces la seguridad de la información solo puede limpiar las consecuencias.

Este plazo debe ser lo más realista posible. Si la seguridad de la información siempre exige que se tome una decisión “para ayer”, la directiva dejará de escuchar y los tratará como el niño del cuento del lobo. Y si siempre dice “bueno, tienes un año para pensártelo”, los despedirán después del próximo incidente (o directamente). Es importante poder evaluar y establecer el plazo real y resaltar los riesgos potenciales.

Vale la pena señalar que muy pocas empresas guardan un dinero de reserva en sus cuentas, esperando que el director de seguridad de la información venga y les diga dónde gastarlo lo antes posible. Los fondos para resolver problemas tendrán que cogerse o pedirse prestados de alguna parte, y esto puede llevar un tiempo. Y, por cierto, para entender este tiempo, también es importante saber cómo funciona y se financia una empresa.

Piensa en marketing

Para comunicarte correctamente, los especialistas en seguridad de la información deben tener algunas habilidades de marketing; así podrán vender sus soluciones a los jefes.

  • Ofrece una solución, no un problema. Obviamente, no se puede vender un problema.
  • Siempre que sea posible, apóyate en precedentes reales y fácilmente comprobables. A los directivos les encantan: reducen la incertidumbre.
  • En lugar de términos técnicos, utiliza un lenguaje atractivo de ventas y diapositivas con gráficos coloridos.
  • Ofrece varias opciones, incluidas las que son claramente inviables.
  • Pon toda la oferta en una única página: nadie leerá más que eso.
  • Utiliza sinónimos para la expresión “seguridad de la información”: reducción de riesgos, garantía de la resistencia/continuidad de los procesos de trabajo, mantenimiento de la eficiencia operativa, reducción del tiempo de inactividad, prevención de daños, etc.
  • Utiliza el mínimo lenguaje emocional posible y mantén un estilo de comunicación profesional y empresarial.

¿Qué hacer?

Las habilidades blandas son la clave para una comunicación comercial de éxito. Para ello, tienes que salir de tu burbuja especializada y aprender a hablar con los directivos usando el idioma y los contextos de su preferencia. Aunque quieran, no pueden profundizar en todos los detalles técnicos de cada departamento de la empresa. En cuanto al servicio de seguridad de la información, es importante reconocer que eres solo una parte de la empresa, por lo que debes saber cómo funciona y ayudar a obtener los máximos ingresos con el coste mínimo.

Y también vale la pena consultar los resultados de nuestro último estudio de investigación sobre la relación entre los directivos y los gestores de seguridad TI (en inglés).

Consejos