En el tercer y último día de InfoSecurity Europe 2022 , Sarb Sembhi, CISO global de Aireye , moderó el panel de discusión principal titulado "Impulsar la estrategia de ciberseguridad de las pymes". Sembhi estuvo acompañado por sus compañeros expertos Milos Pesic, vicepresidente de InfoSec y CyberSec en Marken , Diane Abela, directora de seguridad de la información en AccuRx y Vincent Blake, vicepresidente, oficial de seguridad de tecnología digital y GRCA en Pearson .

El panel compartió información sobre los pasos que las pequeñas y medianas empresas (PYME) pueden tomar para defenderse de los riesgos y amenazas cibernéticos, proteger los datos de sus clientes y responder a un incidente con presupuesto y recursos limitados. La sesión abordó estrategias prácticas para implementar seguridad con un presupuesto, evaluando el panorama de riesgos para identificar amenazas para las PYMES, analizando los requisitos clave de GDPR y lo que significan para las PYMES e identificando los pasos clave para el cumplimiento y la comprensión de las consecuencias de no cumplir.

El panel comenzó enfatizando la importancia de la cultura de una empresa para impulsar la estrategia de ciberseguridad de una pyme, afirmando que construir una cultura de confianza es vital. El panel estuvo de acuerdo en que ciertas organizaciones cometen el error de ver la seguridad más como un "bloqueador", estableciendo una cultura de "desconfianza" al implementar métodos de seguridad de mano dura, como "cerrar con candado las computadoras a los escritorios de la oficina".

Una estrategia de ciberseguridad efectiva se enfoca en tres áreas centrales, enfatizó el panel de oradores:

• Creando la cultura adecuada
• Reclutar a las personas adecuadas
• Implementar los procesos, las herramientas y los controles de acceso adecuados para mejorar la ciberhigiene de las pymes

Al aprovechar las herramientas adecuadas para la ciberseguridad, deben estar alineadas con los procesos y políticas de una empresa para que funcionen de manera efectiva, enfatizó el panelista Milos Pesic.

Luego, la discusión se centró en la cuestión de la contratación, específicamente las habilidades y la experiencia más deseables. Si bien las habilidades técnicas son importantes cuando se contrata en el espacio de ciberseguridad y seguridad de la información, las habilidades blandas también son clave, afirmó Pesic. Abela le dijo a la audiencia que la contratación de personas "impulsadas por la misión" con una "pasión clara" también es integral, con la advertencia de que las habilidades técnicas siguen siendo clave. Abela matizó este punto y agregó que un mayor énfasis en la experiencia en lugar de las calificaciones también podría beneficiar la estrategia de contratación y la resiliencia de una empresa. Blake resonó con las opiniones del panel, subrayando aún más la necesidad de que los solicitantes tengan curiosidad y pasión.

El moderador Sembhi se sumó a esta discusión y comentó que una empresa no debe tener una mentalidad demasiado técnica, ya que necesita ver el panorama estratégico más amplio. Además, Blake volvió a enfatizar la necesidad de que las empresas contraten personas con habilidades sociales y comerciales para complementar a los empleados técnicos de una organización. Si bien Pesic estuvo de acuerdo en que una fuerza laboral necesita una muestra representativa de talento, las pequeñas empresas deberían considerar optimizar más las habilidades técnicas para reclutar y aumentar su ciberseguridad.  

Guiado por las preguntas de la audiencia, el panel pasó a una discusión sobre los conceptos básicos de una buena ciberhigiene para las PYMES. Abela señaló que la "visibilidad" de la seguridad cibernética dentro de una organización es primordial, además de garantizar que iniciativas como los programas de concientización sean una parte regular de las operaciones de una empresa. El panel también sugirió el valor de realizar evaluaciones de seguridad para comprender cualquier posible vulnerabilidad, haciendo preguntas fundamentales como "¿dónde estamos ahora?" y “¿dónde están las brechas?” siendo especialmente imperativo.

Otras preguntas de la audiencia se centraron en las partes interesadas comerciales, con Abela creyendo que las empresas deben articular a los accionistas la importancia de la seguridad y su impacto en el valor para los accionistas. Vincent Blake afirmó que es necesario "evitar hablar de manera insulsa sobre la ciberseguridad" y aprovechar más una historia y una narrativa para subrayar su importancia. Milos Pesic cerró esta parte de la discusión al sugerir un énfasis menor en la hipernegatividad que a menudo rodea a la seguridad cibernética, incluida la escala del problema y la frecuencia de los ataques, y entrar desde una perspectiva más positiva.

Al concluir la sesión, el moderador Sembhi abordó la pregunta: "¿Qué seguridad espera que tengan las pymes y qué podrían hacer mejor?" El panel abogó por una sólida gestión de derechos de acceso, seguridad de punto final, educación y el cultivo de una "mentalidad segura".