En la caricatura de Scott Adam, Dilbert, el jefe de pelo puntiagudo no tiene nombre porque Scott Adam's quería que sus lectores relacionaran el personaje principal con los jefes conocidos por los lectores.
Esto se señala porque (y desafortunadamente) muchos profesionales de la Seguridad de la Información suelen encontrar actitudes ingenuas de la gerencia ejecutiva similares a las que exhibe el jefe de pelo puntiagudo de Dilbert, como:
No hemos tenido infracciones de seguridad cibernética en el último año fiscal del año pasado. ¿Por qué sugiere que necesitamos gastar más en ciberseguridad? Dado que no parece haber ninguna amenaza, ¿no hay espacio para cambiar los fondos de la ciberseguridad?
Esta lógica es como " El banco no ha sido robado en años, por lo tanto, ¡no necesita guardias de seguridad! "
Descubrí que al menos 1 estrategia funciona para influir en actitudes como esta: lo que enfatiza el retorno de la inversión (ROI) mitigar los riesgos es siempre menor que el de aceptar riesgos en primer lugar (es decir, " ¡Una onza de prevención vale una libra de curación! ")
PREGUNTA :
Ya que está claro que todas las estrategias efectivas de seguridad de la información comienzan con la "aceptación" de la administración ejecutiva, qué estrategias han demostrado ser efectivas para cambiar algunas de estas actitudes ingenuas mantenidas por la administración superior para apreciar la verdadera naturaleza de estos riesgos, y ¿Cultivar un apetito correspondiente para invertir en la mitigación de riesgos?