La diversidad de puntos de vista y experiencia también puede contribuir directamente a la resiliencia de una empresa. “Cuando creamos software, y estamos viendo el modelado de amenazas, queremos asegurarnos de tener al menos un representante de cada grupo importante de partes interesadas porque siempre habrá necesidades que alguien tiene que usted no anticipó”, explica Ryan. “Obtener diferentes perspectivas también significa que alguien se dará cuenta: “De hecho, cada dos jueves, los limpiadores entran y también tienen un conjunto de claves para la oficina”, una vulnerabilidad que nunca has tenido en cuenta. No quieres que la sala esté tan abarrotada que nadie pueda tener una conversación. Pero hay que tener una visión holística”.

“Las personas en seguridad tienden a provenir de la gestión de riesgos, la contaduría o la tecnología, pero hay muchas menos personas con antecedentes no estándar o inusuales en el ámbito, que pueden aportar nuevas formas de ver estos problemas tan complejos”, afirma Doherty.

El sólido patrocinio ejecutivo ayuda a reunir a este grupo diverso de partes interesadas y subraya que la seguridad es una prioridad. “Una de las cosas que defendemos es que los líderes empresariales se hagan cargo de la seguridad e la integren en sus estrategias, en lugar de relegarla a un problema puramente tecnológico”, dice Doherty. “Siempre debería haber un miembro del consejo o un ejecutivo con una idea sobre en qué debería invertir la organización”.

La capacitación para líderes empresariales puede ayudar a desarrollar esta capacidad, ya que muchos ejecutivos carecerán de experiencia formal en seguridad.

“Los directores y ejecutivos están prestando más atención de la que solían, pero también están abordando estos temas desde una base baja de conocimientos existentes, por lo que es muy importante mantenerlos informados sobre los últimos desarrollos en prácticas de ciberseguridad”, dice Doherty. “También es fundamental que la información que se les presenta sea accesible y útil. Cuando las personas acuden a usted con ideas, ya sean vendedores o altos ejecutivos, debe ser capaz de priorizar las necesidades sobre las modas. Y eso se basa en tener esa comprensión del modelo de amenazas, la estrategia y hacia dónde se dirige”.

Yang recomienda nombrar a un director de seguridad de la información (CISO) para dirigir la estrategia de ciberseguridad de la organización y supervisar su implementación en estrecha coordinación con el equipo de TI y el liderazgo de riesgos. “En los niveles más altos de la organización, debe haber el máximo apoyo y compromiso, y eso incluye la asignación de recursos a la ciberseguridad”, dice. “Tradicionalmente, el departamento de seguridad operaba en su propio carril, pero hoy en día se trata del trabajo en equipo”.

Más allá del nivel de gestión, la incorporación de “campeones de seguridad” en toda la empresa puede allanar el camino para que las políticas y prácticas se integren a nivel diario.

“Tenemos un programa en el que identificamos a las personas de los equipos de productos o entrega que asumen cierta responsabilidad por la seguridad”, dice Doherty. “Como no son expertos en seguridad, o generalmente no comenzaron de esa manera, reciben capacitación y se conectan con una comunidad de sus pares y con el equipo de seguridad. Se convierten en una forma de garantizar a la organización que los controles de seguridad necesarios se están integrando en los productos que están construyendo”.

Pasar de las políticas de seguridad a una cultura de seguridad también requiere honestidad y transparencia, así como un grado de valentía, señala Ryan.