}}){kind=logo}
}}){kind=icon}
}}){kind=icon}
}}){kind=icon}
}}){kind=icon}
}}){kind=icon}
En la era digital, la ciberseguridad se ha convertido en un tema candente, no solo en los círculos tecnológicos, sino también en los medios de comunicación. Cada semana, parece traer consigo un nuevo titular sobre un ataque cibernético devastador o una brecha de datos masiva. Como consecuencia, ha puesto sobre la mesa de los tomadores de decisiones, la importancia de apoyar las estrategias de ciberseguridad de las organizaciones con la intención de mitigar riesgos, que saben que existen, pero aún no los entienden a cabalidad, como realmente se demuestra la efectividad para mitigarlos, ni como medir “el éxito” de las acciones y gestiones de los responsables de ejecutar esas estrategias, como separar el “grano de la paja”. ¿Cuál es el verdadero impacto mediático de la gestión en ciberseguridad? ¿Y cómo podemos distinguir lo que es genuinamente un resultado de lo que es simplemente “acto mediático”?
Al analizar algunos de los pensamientos que frecuentemente escucho, como: “he tenido éxito, me aprobaron el presupuesto más alto de la organización”, “Nos ampliaron las instalaciones”, “Colgamos el pergamino de certificación en el lobby de la oficina”, me preocupa que no tengamos en concepto claro de “éxito en la gestión de la ciberseguridad”, y que de manera generalizada, se consideren los esfuerzos que deben ser el ABC, como el mejor de los resultados.
Se requiere aterrizar a que estos son oportunidades y facilidades que nos ponen a disposición para que entonces SÍ demos el resultado esperado. En cambio, perdemos la vista el verdadero impacto que debe generarse producto de una gestión eficaz, como: la cantidad de incidentes en comparación con el periodo anterior; aumento de los reportes por parte de los colaboradores producto de la concienciación que han recibido; identificación y documentación de nuevas técnicas de ataque; reducción de los tiempos de respuesta, vulnerabilidades remediadas, entre otros.
Empresas de todo el mundo han incluido la ciberseguridad como espina dorsal a la estrategia de negocio, muchas de ellas con criterios claros de lo que se espera, otras no tanto. Es por esto que los indicadores de efectividad juegan un papel tan importante para medir el éxito de la organización en su implementación, o simplemente, para estar claros si el salario del responsable está justificado.
En este contexto, los indicadores clave de éxito, y los indicadores clave de rendimiento, desempeñan un papel fundamental. Más importante aún es tener claridad de por qué son importantes y cómo pueden ayudar al ecosistema a mejorar la postura de seguridad, por ejemplo:
Ver el panorama completo en lo que respecta a la seguridad de la información. Sin realizar un seguimiento de los indicadores específicos de ciberseguridad, las organizaciones no pueden comprender claramente qué tan efectivos han sido sus esfuerzos de seguridad cibernética. Así como tener visibilidad de los datos históricos, tanto para medir el éxito de la gestión como para toma decisiones informadas sobre una base real y no a ciegas. ¿Realmente, estoy mejorando en comparación el año anterior? ¿Cuál es la percepción de los clientes y consumidores en cuanto a la gestión de los riegos?
Otro factor importante es la inviolabilidad de los principios de selección de métricas adecuadas:
ρ Sesgo de resultado: evitar centrarse solo en resultados positivos y poner mucha más atención a esos objetivos que buscamos cumplir y no ha sido así. ¿Qué ha pasado? ¿Cuáles han sido los obstáculos? Estos son los indicadores que realmente importan.
ρ Longevidad y precisión: buscar métricas confiables y duraderas para tener certeza de que, en el tiempo, la información, los datos de medición, nos hablan en el contexto que realmente necesitamos.
ρ Enfoque de utilidad y la misión: priorizar métricas que impulsen mejoras reales alineadas con los objetivos de la organización. ¿El objetivo es tener una estructura organizacional más grande? ¿Puede ser este un indicador de éxito? ¿O claramente es parte del camino para lograr los objetivos en función de haber identificado la falta de estructura como obstáculo? ¿Con ella podré cumplirlos? Pues más adelante hablamos de si fue exitoso o no, pero no aún.
Una vez durante un debate, sobre si acciones mediáticas como las anteriores podrían considerarse como un indicador de éxito, me comentó: “Algunos gestores se enfocan en una cosa, y otros se enfocan en otras”. Y analizándolo en el contexto del mundo mediático actual, me quedó claro: “cuando no existen indicadores claros de éxito, allante, el movimiento y la percepción tienen más valor que el resultado real”.
La realidad es que hoy muchos responsables de ciberseguridad de empresas de todo el mundo, generalmente, apuestan a apoyarse en “el país de los ciegos, el tuerto es rey”. Es necesario colocarnos en el momento del tiempo en que los tomadores de decisiones tengan mucho más entendimiento de los resultados esperados, y empiecen a pasar factura de lo que realmente se espera de una gestión efectiva de los riesgos cibernéticos.
Central: 809-622-4983
Dusan Piña. Presidente y Director.
Contacto: dusanpina@revistacontactord.com
809-697-7585
Haydée Ramírez. Vicepresidenta y subdirectora.
Contacto: hramirez@revistacontactord.com
809-729-8980
Forma de pago: transferencia o depósito en el banco BHD León a la cuenta 27190380011
}}){kind=icon}
