Tradicionalmente, los directivos de las empresas han considerado el gasto en seguridad como un mal necesario: dinero que debe destinarse a mantener la seguridad de la empresa, pero también un coste que se come el presupuesto que preferirían invertir en la empresa. Los equipos de seguridad, por su parte, han considerado comprensiblemente que el gasto en seguridad debería ser una prioridad presupuestaria, dado lo esencial que es para que la organización funcione de forma segura.
Ambos tienen razón.
El gasto en seguridad mantiene seguras a las organizaciones y, al hacerlo, les permite crear una ventaja competitiva y perseguir con éxito sus objetivos empresariales. Aunque es fácil pensar en la seguridad como un muro construido para encerrar a las organizaciones tras una barrera segura, en este contexto puede ser útil verla como un puente. La seguridad es lo que permite a la empresa conectarse con el resto del mundo y conseguir más, sabiendo que está protegida.
La cuestión de si la seguridad es un centro de costes o un habilitador no es nueva, pero ha cobrado nueva importancia últimamente, a la luz de la aumento previsto del gasto en seguridad que ha acompañado al cambio hacia el trabajo híbrido, el auge de las operaciones en la nube y otros avances que han provocado la desaparición de los perímetros de seguridad tradicionales. Sí, cuesta mucho asegurar una organización que ya no puede confiar en un perímetro formal, pero esa inversión puede compensarse con creces si la dirección empresarial y la dirección de seguridad están alineadas y comprometidas con la seguridad y la audacia.
Utilizar la seguridad como herramienta de capacitación empresarial requiere que las organizaciones conozcan sus riesgos y el coste de gestionarlos, así como el coste de no gestionarlos. Por ejemplo, ¿cuál es el coste de un sistema automatizado sólido para controlar las cuentas de usuario frente al coste de una infracción derivada de la falta de control de esas cuentas? El coste material de este último puede estar claro de inmediato: una multa elevada por infringir el GDPR, por ejemplo, si la infracción expone datos privados. Pero, ¿qué hay del coste en confianza del cliente y reputación de la organización? Puede ser incalculable, y la empresa puede pagarlo durante mucho, mucho tiempo.
Hoy en día, las organizaciones son cada vez más conscientes del valor empresarial de contar con una seguridad sólida. correlación entre una seguridad sólida y el éxito empresarial. Y en una nueva tendencia, comités de ciberseguridad que operan bajo la supervisión de los consejos de administración de las empresas. Conclusión: cuando los directivos de las empresas comprenden el valor comercial y otras ventajas empresariales de contar con un sólido equipo de seguridad, así como el elevado coste de no disponer de una seguridad robusta, la relación entre los responsables de seguridad y los directivos de las empresas puede ser menos conflictiva y más colaborativa.
La seguridad como elemento facilitador del negocio puede abarcar muchas áreas de la seguridad, pero un buen lugar para empezar a hablar de ella es la gestión de identidades y accesos (IAM). Dado que hoy en día tantas filtraciones de datos tienen que ver con las credenciales de los usuarios (el 61%, según la edición de 2021 del Informe de Verizon sobre investigaciones de violaciones de datos), no cabe duda de que la identidad es un área en la que la inversión en seguridad es fundamental. Al fin y al cabo, solo tiene sentido que las organizaciones inviertan en seguridad en las áreas en las que obtendrán el mayor beneficio (o en las que corren el mayor riesgo), y la IAM encaja perfectamente en esta descripción.
Sin seguridad de identidad en la fase inicial del acceso a los recursos, las organizaciones pueden sufrir enormes consecuencias financieras y de otro tipo si alguien obtiene acceso no autorizado a sistemas e información. Piense en el Violación de datos de Colonial Pipeline de 2021, Por ejemplo, en la que los piratas informáticos acceden a la organización utilizando una contraseña comprometida. A continuación, contrasta esto con lo que puede esperar una organización con seguridad de identidad: no temer las consecuencias de un entorno empresarial poco seguro, sino perseguir con confianza las ventajas financieras y otros beneficios que conlleva operar de forma segura.
###
Vea la conversación de Ingo Schubert con teiss, "La seguridad como factor de negocio.”
