Cuando se trata de comunicar preocupaciones de seguridad y la amenaza crítica que los ataques cibernéticos y la posterior pérdida de datos para las empresas, uno de los principales desafíos que los CISO se enfrentan representan cerrar la brecha de conocimiento considerable entre las partes interesadas de alto nivel para aumentar la aceptación.
Con frecuencia, las organizaciones creen que cuentan con un plan integral de recuperación ante desastres (DR), que tiene en cuenta y mitiga todos los riesgos potenciales y garantiza la provisión suficiente para un rápido retorno a “negocios como de costumbre”. Pero a menudo los riesgos en términos de servicio interrumpido, pérdida de ingresos, posible interrupción de la cadena de suministro y daño a la reputación no se entienden completamente.
Con la frecuencia y el impacto de los delitos cibernéticos que crecen cada año, así como la inevitabilidad de las fallas de hardware y otras interrupciones, es absolutamente fundamental contar con una estrategia integral de ante recuperación desastres y la capacidad de persuadir a la alta gerencia para que aumente los presupuestos donde sea necesario.
Entonces, en términos de garantizar que los planes de recuperación ante desastres estén completos, ¿cómo pueden los CISO mejorar sus posibilidades de lograr que los altos ejecutivos participen con un aumento del presupuesto antes de que una interrupción del centro de datos afecte el negocio?
Un punto de partida es unir los puntos entre el fracaso tecnológico y el rendimiento comercial, para replantear las preocupaciones tecnológicas en torno al posible impacto comercial y la pérdida de oportunidades comerciales, y más allá de esto, se trata de educación. Aquí hay cuatro estrategias clave para que los CISO consideren que brindarán un contexto vital para abordar la brecha de conocimiento de TI entre el C-Suite, para permitir una mayor comprensión y aceptación de las conversaciones sobre el presupuesto de DR:
Comunicar el impacto comercial: comunicar la “mitigación de riesgos” y el “impacto en los ingresos” sobre la “recuperación de TI”
Los ejecutivos de nivel C presiden la mitigación de riesgos y la protección y entrega de oportunidades de ingresos dentro del negocio. Por lo tanto, es fundamental que los CISO adopten el mismo vocabulario y hablen en los mismos términos comerciales que resonarán. Cuando se analicen los planos de recuperación de TI, los profesionales de seguridad deben resaltar los riesgos de perder cientos de millas de libras en ingresos debido a la interrupción de una aplicación de misión crítica. Y las causas de las interrupciones deben explicarse completamente y priorizarse en términos de probabilidad y gravedad del impacto comercial. Hay cientos de recursos disponibles en torno a esto ahora, así como noticias casi diarias que destacan pérdidas y cierres comerciales graves;
Luego, solicite a los ejecutivos que evalúen y prioricen las partes más críticas del negocio, o los riesgos que estarían dispuestos a reducir frente a los riesgos que estarían dispuestos a aceptar.
En última instancia, al trabajar en estrecha colaboración con C-Suite, los profesionales de seguridad deben aspirar a ofrecer un programa en evolución que comience por abordar los riesgos de mayor probabilidad y mayor impacto.
Resiliencia empresarial: eliminar el término “desastre” de su vocabulario
Uno de los temas centrales cuando se trata de comunicar inquietudes tecnológicas a una audiencia empresarial es el uso del vocabulario apropiado y la capacidad de comunicar el contexto. La terminología rica en tecnología desconectará inmediatamente a aquellos que no la tiendan y las referencias ambiguas que no explicarán adecuadamente el impacto en los negocios o la prevalencia diaria de las amenazas a la seguridad caerán en oídos sordos.
En términos de recuperación ante desastres, la palabra “desastre”, por ejemplo, a menudo se asocia con eventos de baja probabilidad, como una interrupción generalizada debido a un terremoto, una inundación o un acto de terrorismo, y no comunica adecuadamente la prevalencia de eventos de pérdida de datos .
En realidad, sin embargo, la mayor parte del tiempo de inactividad es causado por eventos mundanos y cotidianos, como fallas de hardware, errores humanos, clima severo o cortes de energía. Esto se ha vuelto aún más el caso desde que la pandemia ha impulsado la adopción generalizada del trabajo híbrido y desde el hogar. A medida que los empleados trabajan de forma remota con mayor frecuencia, los incidentes relacionados con los empleados aumentan cada vez más, causando estragos en los entornos de TI.
Al eliminar la palabra “desastre” de las conversaciones con la alta gerencia y analizar la resiliencia empresarial en términos de eventos de pérdida de datos de alta probabilidad, es mucho más probable que los CISO capten la atención y el enfoque de C-Suite.
Describa los beneficios de la continuidad del negocio y el crecimiento del negocio
Si bien es importante delinear y explicar completamente los riesgos relacionados con la pérdida de datos, comunicar los beneficios de la recuperación de TI aumentará los argumentos para C-Suite y, al articular la continuidad y el crecimiento, generará un mayor impacto y apalancamiento para asegurar el compromiso de recursos adicionales.
Obtener una ventaja competitiva, cumplir con las demandas de la cadena de suministro, cumplir con los acuerdos de nivel de servicio y cumplir con los requisitos normativos y de cumplimiento son solo algunos ejemplos para iniciar la conversación. Investigar y ofrecer opciones rentables para mejorar la recuperación después del tiempo de inactividad también puede mejorar la compra de C-Suite, tales socios de software como servicio que ofrecen diferentes niveles de aplicación como servicio y cobran puntos de precio más altos por el adicional. beneficios de las funciones de recuperación ante desastres. Una recuperación más rápida significa que las aplicaciones de apoyo a los ingresos y de misión crítica se mantienen activas, pero la organización también puede convertir la recuperación de TI en un generador de ingresos.
Identificar soluciones específicas.
Por último, es importante recomendar qué aplicaciones específicas requieren un plan de recuperación activo en lugar de simplemente describir dónde la administración necesita gastar más dinero en recuperación de TI. Apuntar a una solución específica, comprobada e integral que satisfaga las necesidades de recuperación de TI no solo crea una mayor comprensión entre los ejecutivos, sino que también justifica la inversión.
En el entorno competitivo actual, las consecuencias de la pérdida de datos para las empresas son terribles: el tiempo de inactividad, la pérdida de productividad y el daño a la reputación a largo plazo suponen un duro golpe para el rendimiento y el potencial de la empresa. Solo al garantizar que una organización tenga un enfoque integral y de múltiples capas para la recuperación de TI, los CISO pueden ayudar a mejorar la resiliencia empresarial ante amenazas de alta probabilidad y responder rápidamente en caso de pérdida o robo de datos.
Lograr una comprensión crítica y la aceptación entre el C-Suite es primordial. Educarlos sobre cómo la pérdida de datos afectará las diversas partes del negocio, los posibles enfoques, productos y socios de soporte disponibles, y hablar en términos comerciales claros, brindará el mayor conocimiento y contexto necesario para asegurar esta inversión y aceptación críticas.
Fuente:
Selección del editor. (2022g, 3 de febrero). Cuatro consejos para aumentar la aceptación ejecutiva de la recuperación ante desastres . Edad de información. Recuperado el 3 de febrero de 2022, de https://www.information-age.com/four-tips-to-increase-executive-buy-in-to-disaster-recovery-123498687/