Durante años, se ha hecho referencia frecuente (y burlonamente) a la ciberseguridad como “el departamento número uno”. Los líderes empresariales se quejaron de que, cuando se enfrentaban a la innovación, los equipos de ciberseguridad rechazaban ideas, enumeraban razones por las que el proyecto no era seguro y por qué lo que querían hacer no era factible. Luego hubo un cambio de mentalidad. A medida que a más líderes de seguridad se les encomendó la tarea de demostrar el retorno de la inversión (ROI) de los presupuestos de seguridad, los departamentos de seguridad comenzaron a encontrar formas de decir “sí” con más frecuencia.
Los esfuerzos de seguridad por deshacerse de la etiqueta de “Departamento del No” pueden haber ido demasiado en la dirección opuesta, según Rami McCarthy, un veterano de la industria, líder de seguridad e investigador que escribe regularmente sobre liderazgo y gestión de seguridad. “Últimamente, todos los Bsides [conference] Parece querer evitar el “no” y replantear a los equipos de seguridad como un “departamento que dice sí”, dijo McCarthy. escribió recientemente, señalando que estas discusiones ayudan a crear una premisa falsa de que decir “no” es intrínsecamente malo y debe evitarse a toda costa. En su entusiasmo por habilitar y adaptarse, la seguridad a menudo pasa por alto el valor de un “no” estratégico y deliberado y cómo esto puede crear límites para proteger a la organización.
“Las discusiones sobre el ‘Departamento del Sí’ son inspiradoras, pero a menudo eluden realidades confusas”, dijo McCarthy a Dark Reading. “Al trabajar en programas de seguridad impulsados por asociaciones, he visto el daño causado al evitar conversaciones difíciles: ‘no’ tardíos que interrumpen la entrega, deuda técnica y equipos agotados. »
McCarthy cree que el objetivo de la seguridad no es ser un obstáculo, sino una guía y, a veces, guiar significa decir no de una manera clara, reflexiva y constructiva. La noción de seguridad como el “Departamento del No” ha sido criticada durante mucho tiempo por su enfoque de control y oposición. Pero al tratar de redefinir los equipos de seguridad como facilitadores, las organizaciones corren el riesgo de corregir en exceso y priorizar la armonía sobre las duras verdades, afirma.
Decir “no” es una herramienta necesaria para gestionar el riesgo y mantener la alineación. Evitarlo por completo puede crear desafíos como una mala alineación, equipos abrumados y riesgos no gestionados, advierte McCarthy.
“Los equipos de seguridad pueden agregar el mayor valor al reducir los riesgos de bajo retorno de la inversión, lo que permite a la organización centrarse en oportunidades de mayor retorno de la inversión”, explica. “Esto significa ser selectivo sobre cuándo decir ‘no’ y tomar decisiones en función de cómo se alinean con los objetivos de la empresa. Si se hace bien, la seguridad no sólo mitiga el riesgo: permite a la empresa asumir riesgos más inteligentes y audaces.
El costo de evitar el “no”
Evitar la palabra “no” puede tener efectos en cascada, dice la Dra. Jessica Barker, científica del comportamiento y experta en ciberseguridad. Ella sostiene que un “no” cuidadosamente considerado y dicho con empatía puede ser un servicio para la organización en lugar de un obstáculo.
“La empatía no es complacer a las personas. Se trata de comprender el punto de vista de la persona o del equipo que realiza la solicitud, reflejar esa comprensión y explicar por qué su solicitud no es posible o por qué una alternativa es una mejor opción”, dice Barker.
Pero también existen riesgos al decir “no” con demasiada frecuencia, dice Tom Van de Wiele, un hacker ético y asesor de ciberseguridad que ha escrito sobre la importancia de decir sí cuando se trata de seguridad. Los peligros de decir “no” a la gente con demasiada frecuencia van más allá de los sentimientos heridos, afirma.
“El mayor riesgo es que la gente simplemente pase por alto la seguridad. En este caso, los datos pueden terminar en entornos no controlados y la organización pierde visibilidad sobre quién usa qué, dónde se encuentra la información y cómo se protege.
Esto puede generar TI en la sombra, deuda técnica y soluciones temporales que se vuelven permanentes, creando importantes vulnerabilidades de seguridad.
Cómo decir “no” de manera efectiva
Entonces, ¿cómo equilibran los líderes de seguridad la necesidad de decir sí a apoyar las operaciones, pero también decir “no” cuando sea necesario? No siempre es fácil. Un “no” mal manejado puede socavar la confianza y perturbar los procesos organizacionales. McCarthy dice que es importante evitar dar un “no” sin contexto, decirlo demasiado tarde o hacerlo de manera inconsistente. Destaca la necesidad de alinear las decisiones con los objetivos comerciales para fomentar la confianza y garantizar que las partes interesadas comprendan el papel de la seguridad.
Barker enfatiza que la comunicación constructiva es esencial. “La gente suele querer ser escuchada y respetada más que cualquier otra cosa”, afirma. “La forma en que se reciben y transmiten las comunicaciones marca una gran diferencia”.
Al alinear las decisiones de seguridad con los objetivos comerciales y presentarlas como prioridades compartidas, los equipos de seguridad pueden generar confianza y colaboración.
Van de Wiele enfatiza la importancia de la comunicación abierta y sugiere iniciativas como sesiones de “pregúntame cualquier cosa” y reuniones periódicas para fomentar una cultura de asociación.
“Cuando los empleados ven que el equipo de seguridad está realmente interesado en facilitarles el trabajo, es más probable que sigan los procesos aprobados y busquen asesoramiento”, afirma.
Un marco para mejores Nos
McCarthy sugiere varias estrategias para dar un “no” constructivo que se alinee con los objetivos de la empresa y genere confianza:
Alinearse con los resultados comerciales: Asegúrese de que todas las partes interesadas estén de acuerdo en prioridades comunes y objetivos organizacionales antes de tomar decisiones.
Proporcionar contexto: Comunique claramente los fundamentos de las decisiones, incluidos los riesgos asociados y cómo se alinean con las prioridades.
Sea consistente: Genere confianza manteniendo políticas y estándares claros para que las partes interesadas sepan qué esperar.
Demostrar asociación: Fortalecer la alineación con los objetivos comerciales proporcionando vías seguras o plazos para el progreso cuando sea posible.
Priorizar decisiones críticas: Sea selectivo a la hora de decir “no”, reservando las decisiones firmes para riesgos importantes o situaciones de alta prioridad.
“La estrategia más eficaz es demostrar, no sólo decir, que estás centrado en hacer crecer el negocio”, afirma McCarthy. “Busque oportunidades para alinear la seguridad con los esfuerzos de generación de ingresos. Fortalezca esa alineación y genere confianza con otros equipos”.