¿Cómo comunicar los riesgos de seguridad de la información?

Comunicar los riesgos de seguridad de la información deben ser dados de manera eficaz, sino está arando en el mar.

 Uno de los problemas más grande que tiene los profesionales de seguridad de la información son sus habilidades comunicativas, debido a que la gran mayoría de los mismo vienen del área de informática y pareciera que no supiéramos comunicarnos con otro tipo de personas que no sean los de nuestra área, al igual como sucede entre abogados o médicos (nunca entiendo a los médicos) y comunicar los riesgos de seguridad no es la excepción.

Los líderes de las áreas de seguridad, usualmente, son personas que interactúan con un grupo de profesionales muy diversos y deberían poder comunicarse con los mismo de forma que se entiendan (por eso se llama comunicación). Sin embargo, se ha empezado a dar la tendencia de que los CSO/CISO´s no están comunicando los riesgos por diversas razones, según una encuesta realizada por el Ponemon Institute., reveló que los CSO/CISO’s están tomando las siguientes acciones:

• No comunican los riesgos a la alta gerencia o solo los comunican cuando son riesgos gravemente relevantes;
• que la colaboración entre la administración de riesgos de seguridad y el negocio es pobre, inexistente o contradictoria; y
• más de la mitad de los encuestados dijeron que la comunicación de los riesgos a los altos ejecutivos es ineficaz.

Cuando se les preguntó profesionales en seguridad de la información ¿por qué no fue efectiva la comunicaciones de los riesgo de seguridad a los ejecutivos? Las respuestas fueron las siguientes:

• 68 % dijo que las comunicaciones están enterradas;
• 61 % dijo que la comunicación se produce a un nivel demasiado bajo;
• 61 % dijo que la información es demasiado técnica para ser entendido por gerentes no técnicos;
• 59 % dijo que los hechos negativos son filtrados antes de ser revelada a los altos ejecutivos y el CEO

Los resultados de esta encuesta me hacen pensar que las organizaciones, actualmente, están perdiendo muchas oportunidades de mejoras debido a su incapacidad de comunicarse con el área de seguridad e introducir la gestión de riesgos en las decisiones de negocios.

El cambio de este paradigma requerirá que los profesionales de la seguridad desarrollen nuevas habilidades de comunicación para que puedan hablar de los riesgos de seguridad en términos que son claramente relevantes para los objetivos del negocio.

Para finalizar, imaginemos que me quieres exponer los riesgos de la organización, pues la clave de la comunicación está en usar un lenguaje sencillo y si aún no tengo idea de lo que hablas, te diré, como dicen en la película Philadelphia, “Ok, explícame nuevamente, como si tuviera 5 años”.

Si te interesa saber más sobre gestión de riesgos, visita nuestra sección “Gestión de Riesgos”

¿Cuál crees que es la mejor estrategia que funcionaria en tu organización? Déjalo en los comentarios…