{"id":28370,"date":"2023-02-07T10:47:07","date_gmt":"2023-02-07T08:47:07","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28370"},"modified":"2023-02-07T10:47:07","modified_gmt":"2023-02-07T08:47:07","slug":"business-soc-communications","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/business-soc-communications\/28370\/","title":{"rendered":"C\u00f3mo mejorar la comunicaci\u00f3n entre el personal de seguridad de la informaci\u00f3n y la directiva"},"content":{"rendered":"<p>Ninguna empresa puede operar correctamente sin una cooperaci\u00f3n fluida entre la direcci\u00f3n general y los especialistas responsables de las diferentes \u00e1reas empresariales. Por supuesto, dicha cooperaci\u00f3n requiere comunicaci\u00f3n, lo que a veces puede ser dif\u00edcil, ya que los gerentes y especialistas trabajan en diferentes burbujas de informaci\u00f3n y, a menudo, hablan diferentes idiomas. La directiva piensa en las ganancias, los costes y el desarrollo; los especialistas, y el servicio de seguridad de la informaci\u00f3n no es una excepci\u00f3n, piensan en sus tareas t\u00e9cnicas espec\u00edficas.<\/p>\n<p>Un <a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\">estudio reciente<\/a> realizado por nuestros compa\u00f1eros demostr\u00f3 que, si bien el entendimiento mutuo entre los directivos y los especialistas en seguridad de la informaci\u00f3n est\u00e1 creciendo en general, a\u00fan siguen existiendo problemas. De hecho, el 98 % de los representantes empresariales encuestados afirmaron haber experimentado alg\u00fan tipo de malentendido con el servicio de seguridad de la informaci\u00f3n al menos una vez que, como consecuencia directa, habr\u00eda provocado al menos un incidente de seguridad en el 62 % de los casos, mientras que el 61 % inform\u00f3 de impactos negativos en la empresa, incluidas las p\u00e9rdidas, el abandono de empleados clave o un deterioro de la comunicaci\u00f3n entre departamentos. A su vez, los propios profesionales de la seguridad no siempre son conscientes de los problemas: <strong>al 42 % de los l\u00edderes empresariales les gustar\u00eda que los especialistas en seguridad se comunicaran con m\u00e1s claridad<\/strong>, \u00a1pero el 76 % de estos especialistas est\u00e1 seguro de que todos los entienden perfectamente!<\/p>\n<p>A menudo hay problemas con el lenguaje utilizado: los directivos no suelen entender todos los tecnicismos que usan los servicios de seguridad de la informaci\u00f3n. Pero la terminolog\u00eda no es el \u00fanico problema en su comunicaci\u00f3n; de hecho, ni siquiera es el problema principal. Intentemos comprender el resto de problemas con la ayuda de Patrick Miller, socio gerente de Archer International, y su <a href=\"https:\/\/www.youtube.com\/watch?v=d-Z6Ip1oyvc\" target=\"_blank\" rel=\"noopener nofollow\">discurso<\/a> en la Kaspersky Industrial Cybersecurity Conference del 2019.<\/p>\n<h2>Una concepci\u00f3n del riesgo muy diferente.<\/h2>\n<p>La mayor\u00eda de los especialistas en seguridad de la informaci\u00f3n tienen un umbral de tolerancia al riesgo muy bajo. Pero en los negocios, ocurre lo contrario: sin riesgo, no hay beneficio, por lo que los directivos a menudo est\u00e1n dispuestos a asumir mayores riesgos. Para el jefe, el objetivo principal es encontrar el equilibrio ideal entre las ganancias y las p\u00e9rdidas potenciales. El verdadero objetivo del departamento de seguridad, por extra\u00f1o que parezca, no es eliminar todas las amenazas, sino ayudar a la empresa a ganar tanto como sea posible.<\/p>\n<p>Desde el punto de vista empresarial, los riesgos pueden aceptarse, evitarse, reducirse o transferirse (por ejemplo, a las aseguradoras). Los directivos intentar\u00e1n tomar los m\u00e1ximos riesgos posibles para aumentar las ganancias. Para ellos, la seguridad de la informaci\u00f3n es solo una peque\u00f1a parte de la imagen, de hecho, probablemente ni siquiera quieran pensar en ello.<\/p>\n<p>Por lo tanto, los especialistas en seguridad de la informaci\u00f3n no deben pensar en c\u00f3mo cerrar todas las brechas, sino en c\u00f3mo identificar y neutralizar aquellas amenazas que <em>realmente<\/em> puedan causar da\u00f1os graves a la empresa. Y, en consecuencia, tambi\u00e9n deber\u00edan pensar en c\u00f3mo explicar a los directivos por qu\u00e9 vale la pena gastar dinero en resolver algo.<\/p>\n<h2>El miedo, la incertidumbre y la duda no funciona<\/h2>\n<p>Tratar de persuadir a los directivos usando t\u00e1cticas de miedo, incertidumbre y duda (FUD por sus siglas en ingl\u00e9s) no va a funcionar, ya que la empresa no paga al servicio de seguridad de la informaci\u00f3n para que los asusten. Los especialistas est\u00e1n para resolver problemas y, mejor a\u00fan, para que nadie se d\u00e9 cuenta de que haya ninguno.<\/p>\n<p>Otro problema con el uso del concepto FUD es que los directivos ya andan bastante estresados, simplemente por el hecho de que cualquier error que cometan podr\u00eda ser el \u00faltimo; por ejemplo, hay muchas personas alrededor que aprovechar\u00edan la oportunidad para ocupar su lugar, por lo que no pueden confiar en cualquiera. Por tanto, no necesitan ning\u00fan factor de miedo adicional.<\/p>\n<p>Y, por \u00faltimo, a ning\u00fan jefe le gusta demostrar que no sabe de algo. Por tanto, cualquier intento de bombardear a la direcci\u00f3n con t\u00e9rminos que suenen inteligentes obviamente est\u00e1 condenado al fracaso.<\/p>\n<h2>Piensa como una empresa<\/h2>\n<p>El objetivo principal de cualquier empresa comercial es ganar dinero, por lo que los directivos miran todo desde este punto de vista, es lo que saben hacer. Por lo tanto, si un especialista en seguridad de la informaci\u00f3n se les acerca y les dice: \u201cha aparecido una amenaza y necesitamos invertir X cantidad de los fondos para neutralizarla\u201d, lo que escucha es \u201csi nos arriesgamos y no hacemos nada, ahorraremos X cantidad de dinero\u201d. Suena loco, pero as\u00ed es exactamente c\u00f3mo piensan las empresas.<\/p>\n<p>Para el directivo, es esencial que cualquiera de sus acciones (o inacciones) d\u00e9 como resultado n\u00fameros financieros positivos, incluso aunque esta cifra positiva resulte de la diferencia entre dos negativos. Por lo tanto, la situaci\u00f3n debe presentarse de una forma que pueda comprender: <strong>\u201cExiste una amenaza con una probabilidad del Z % de causar un da\u00f1o Y al negocio. Necesitamos gastar X para neutralizarlo\u201d.<\/strong> Esta es una ecuaci\u00f3n que tiene sentido en la mentalidad empresarial.<\/p>\n<p>Por supuesto, <strong>no siempre es posible predecir de forma realista el coste del da\u00f1o potencial<\/strong>, por lo que <strong>puedes usar valores conocidos<\/strong> como el <strong>tiempo de inactividad<\/strong> (durante el cual se limpiar\u00edan las consecuencias del incidente), la <strong>cantidad y<\/strong> el <strong>tipo de datos que podr\u00edan perderse o comprometerse<\/strong>, las <strong>p\u00e9rdidas de reputaci\u00f3n<\/strong>, etc. Despu\u00e9s, la empresa podr\u00e1 convertir esta informaci\u00f3n en n\u00fameros comprensibles, con la ayuda de especialistas. Pero es mejor si el equipo de seguridad de la informaci\u00f3n puede hacerlo por s\u00ed mismo, ya que se ahorra mucho tiempo.<\/p>\n<p>Naturalmente, siempre existe la posibilidad de que la ecuaci\u00f3n no funcione a favor de la seguridad de la informaci\u00f3n. Esto <strong>no siempre es un problema de falta de comunicaci\u00f3n<\/strong>; <strong>puede que la directiva escuche y entienda todo<\/strong> perfectamente, <strong>pero sea m\u00e1s rentable correr el riesgo<\/strong>. Eso o que la seguridad de la informaci\u00f3n no haya podido argumentar de forma convincente su posici\u00f3n dado que no ha aprendido a pensar como una empresa.<\/p>\n<p>La clave aqu\u00ed es tener una buena comprensi\u00f3n de la posici\u00f3n del servicio de seguridad de la informaci\u00f3n dentro de la empresa y las ganancias que genera. Esto permitir\u00e1 evaluar y clasificar mejor las posibles amenazas, evitar la p\u00e9rdida de tiempo y los nervios propios y ajenos en iniciativas que claramente no llegar\u00e1n a ning\u00fan lado y, en general, trabajar de forma m\u00e1s eficiente.<\/p>\n<h2>El factor tiempo y los plazos<\/h2>\n<p><strong>Para la seguridad, el factor tiempo es crucial<\/strong>: <strong>algunas amenazas deben protegerse de inmediato<\/strong>. Pero el tiempo tambi\u00e9n es importante<strong> para las empresas<\/strong>, donde <strong>el tiempo es dinero<\/strong>. Hoy puedes gastar X cantidad de dinero antes mencionada, pero si lo haces en un mes, entonces, en manos h\u00e1biles, X se convertir\u00e1 en X*n y X*(n-1) permanecer\u00e1 en el banco.<\/p>\n<p>Incluso aunque la directiva comprenda el problema y sepa que debe resolverse, no se apresurar\u00e1n a gastar dinero a menos que se les d\u00e9 una fecha l\u00edmite clara y bien argumentada. Tambi\u00e9n deben saber que, una vez vencido el plazo, autom\u00e1ticamente deben asumir la responsabilidad por el riesgo en espec\u00edfico, ya que entonces la seguridad de la informaci\u00f3n solo puede limpiar las consecuencias.<\/p>\n<p>Este plazo debe ser lo m\u00e1s realista posible. Si la seguridad de la informaci\u00f3n siempre exige que se tome una decisi\u00f3n \u201cpara ayer\u201d, la directiva dejar\u00e1 de escuchar y los tratar\u00e1 como el ni\u00f1o del cuento del lobo. Y si siempre dice \u201cbueno, tienes un a\u00f1o para pens\u00e1rtelo\u201d, los despedir\u00e1n despu\u00e9s del pr\u00f3ximo incidente (o directamente). <strong>Es importante poder evaluar y establecer el plazo real y resaltar los riesgos potenciales.<\/strong><\/p>\n<p>Vale la pena se\u00f1alar que muy pocas empresas guardan un dinero de reserva en sus cuentas, esperando que el director de seguridad de la informaci\u00f3n venga y les diga d\u00f3nde gastarlo lo antes posible. Los fondos para resolver problemas tendr\u00e1n que cogerse o pedirse prestados de alguna parte, y esto puede llevar un tiempo. Y, por cierto, para entender este tiempo, tambi\u00e9n es importante saber c\u00f3mo funciona y se financia una empresa.<\/p>\n<h2>Piensa en marketing<\/h2>\n<p>Para comunicarte correctamente, los especialistas en seguridad de la informaci\u00f3n deben tener algunas habilidades de marketing; as\u00ed podr\u00e1n vender sus soluciones a los jefes.<\/p>\n<ul>\n<li><strong>Ofrece una soluci\u00f3n, no un problema<\/strong>. Obviamente, no se puede vender un problema.<\/li>\n<li>Siempre que sea posible, <strong>ap\u00f3yate en precedentes reales y f\u00e1cilmente comprobables.<\/strong> A los directivos les encantan: reducen la incertidumbre.<\/li>\n<li>En lugar de t\u00e9rminos t\u00e9cnicos, <strong>utiliza un lenguaje atractivo<\/strong> de ventas y diapositivas con gr\u00e1ficos coloridos.<\/li>\n<li><strong>Ofrece varias opciones<\/strong>, <strong>incluidas las<\/strong> que son claramente <strong>inviables.<\/strong><\/li>\n<li>Pon toda la oferta en una <strong>\u00fanica p\u00e1gina<\/strong>: nadie leer\u00e1 m\u00e1s que eso.<\/li>\n<li>Utiliza sin\u00f3nimos para la expresi\u00f3n \u201cseguridad de la informaci\u00f3n\u201d: reducci\u00f3n de riesgos, garant\u00eda de la resistencia\/continuidad de los procesos de trabajo, mantenimiento de la eficiencia operativa, reducci\u00f3n del tiempo de inactividad, prevenci\u00f3n de da\u00f1os, etc.<\/li>\n<li>Utiliza el m\u00ednimo lenguaje emocional posible y mant\u00e9n un estilo de comunicaci\u00f3n profesional y empresarial.<\/li>\n<\/ul>\n<h2>\u00bfQu\u00e9 hacer?<\/h2>\n<p>Las habilidades blandas son la clave para una comunicaci\u00f3n comercial de \u00e9xito. Para ello, tienes que <strong>salir de tu burbuja especializada<\/strong> y aprender a hablar con los directivos usando el idioma y los contextos de su preferencia. Aunque quieran, no pueden profundizar en todos los detalles t\u00e9cnicos de cada departamento de la empresa. En cuanto al servicio de seguridad de la informaci\u00f3n, es importante reconocer que <strong>eres solo una parte de la empresa<\/strong>, por lo que debes saber c\u00f3mo funciona y <strong>ayudar a obtener los m\u00e1ximos ingresos con el coste m\u00ednimo<\/strong>.<\/p>\n<p>Y tambi\u00e9n vale la pena consultar los resultados de nuestro \u00faltimo <a href=\"https:\/\/www.kaspersky.com\/blog\/speak-fluent-infosec-2023\/\" target=\"_blank\" rel=\"noopener nofollow\">estudio de investigaci\u00f3n sobre la relaci\u00f3n entre los directivos y los gestores de seguridad TI<\/a> (en ingl\u00e9s).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La falta de comunicaci\u00f3n entre una empresa y su servicio de seguridad de la informaci\u00f3n puede generar p\u00e9rdidas innecesarias. Hoy intentamos averiguar c\u00f3mo superar la barrera de la comunicaci\u00f3n.<\/p>\n","protected":false},"author":2725,"featured_media":28371,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10,2202,2754],"tags":[1308,2383,1312,2761],"class_list":{"0":"post-28370","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-business","9":"category-enterprise","10":"tag-comunicacion","11":"tag-presupuesto","12":"tag-riesgos","13":"tag-soc"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/business-soc-communications\/28370\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/business-soc-communications\/25066\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/business-soc-communications\/20558\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/business-soc-communications\/27649\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/business-soc-communications\/25388\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/business-soc-communications\/25857\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/business-soc-communications\/34570\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/business-soc-communications\/46753\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/business-soc-communications\/20095\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/business-soc-communications\/20727\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/business-soc-communications\/29750\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/business-soc-communications\/25795\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/soc\/","name":"SOC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28370","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2725"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28370"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28370\/revisions"}],"predecessor-version":[{"id":28372,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28370\/revisions\/28372"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28371"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28370"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28370"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28370"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}