Es hora de reiniciar las relaciones
59%de las organizaciones dicen que las relaciones entre la seguridad cibernética y las líneas de negocio son, en el mejor de los casos, neutrales, a desconfianza o inexistentes.
- La relación entre la ciberseguridad y la comercialización es, en el mejor de los casos, neutra, a desconfiada o inexistente, según el 74% de las organizaciones; el 64% dice lo mismo del equipo de investigación y desarrollo; el 59% de las líneas de negocio. Los equipos de ciberseguridad incluso obtienen una mala puntuación en su relación con las finanzas de las que dependen para la autorización del presupuesto, donde el 57% de las empresas dicen que se quedan cortas.
- Aproximadamente la mitad de los encuestados (48%) dice que la junta aún no comprende plenamente el riesgo de la ciberseguridad; el 43%, por su parte, dice que la junta no comprende plenamente el valor y las necesidades del equipo de ciberseguridad.
- La encuesta EY Global Board Risk revela que las juntas directivas carecen de confianza en la seguridad cibernética de su organización, con un 50% - en el mejor de los casos - declarando que solo tenían una cierta confianza.
- Sólo el 54% de las organizaciones programan regularmente la seguridad cibernética como un tema de la agenda de la junta.
- Seis de cada diez organizaciones dicen que no pueden cuantificar la eficacia de sus gastos en seguridad cibernética a sus juntas directivas.
3. Los CISO se convierten en el agente de transformación
Con unas relaciones más sólidas a nivel empresarial y de junta directiva, una mejor comprensión de las necesidades comerciales de la organización y la capacidad de anticiparse a la evolución de la amenaza cibernética, las organizaciones de integración económica internacional pueden convertirse en un elemento central de la transformación de sus organizaciones.
Necesitarán una nueva mentalidad, así como nuevas habilidades en áreas como la comunicación, la negociación y la colaboración. Los CISO que se convertirán en poderosos agentes de cambio serán los que en lugar de decir "No" a las nuevas iniciativas digan "Sí, pero..."
Artículo Relacionado
La función de ciberseguridad vista como un obstáculo para la innovación
7%de las organizaciones describirían la ciberseguridad como un elemento que permite la innovación; la mayoría elige términos como "impulsado por el cumplimiento" y "averso al riesgo".
- Sólo el 7% de las organizaciones describiría la ciberseguridad como un elemento que permite la innovación; la mayoría elige términos como "impulsado por el cumplimiento" y "averso al riesgo".
- Cerca de la mitad de las organizaciones (48%) dice que el principal impulsor de nuevos gastos es la reducción de riesgos, y el 29% cita los requisitos de cumplimiento. Sólo el 9% apunta a la habilitación de nuevas iniciativas empresariales.
- Seis de cada diez organizaciones no cuentan con un jefe de seguridad cibernética que forme parte de la junta directiva o de la dirección ejecutiva.
Resumen de las recomendaciones de EY
Basándose en los hallazgos del GISS de este año, está claro que ahora hay una oportunidad real de posicionar la ciberseguridad en el centro de la transformación e innovación empresarial. Esto requerirá que las juntas, los equipos de dirección, los CISO y los líderes de todo el negocio trabajen juntos para..:
- Establecer la ciberseguridad como un valor clave para la transformación digital: llevar la ciberseguridad a la fase de planificación de cada nueva iniciativa. Aprovechar el enfoque de Security by Design para navegar por los riesgos en la transformación, el diseño de productos o servicios al inicio (en lugar de como una idea posterior).
- Construir relaciones de confianza con cada función de la organización: analizar los procesos comerciales clave con los equipos de seguridad cibernética para comprender cómo pueden verse afectados por los riesgos cibernéticos y cómo el equipo de seguridad cibernética puede ayudar a mejorar la función comercial a su alrededor.
- Poner en práctica estructuras de gobernanza que sean adecuadas para el propósito: elaborar un conjunto de indicadores clave de rendimiento e indicadores clave de riesgo que puedan utilizarse para comunicar un punto de vista centrado en el riesgo en los informes ejecutivos y de la junta.
- Concentrarse en el compromiso de la junta: comunicarse en un idioma que la junta pueda entender; considerar un programa de cuantificación de riesgos para comunicar más eficazmente los riesgos cibernéticos.
- Evaluar la eficacia de la función de seguridad cibernética para dotar a la CISO de nuevas competencias - determinar los puntos fuertes y débiles de la función de seguridad cibernética para comprender de qué debe estar dotada la CISO y cómo.
Resumen
Las nuevas investigaciones de EY sugieren que fuera de la necesidad de cumplimiento, un abismo separa la ciberseguridad del negocio. Para salvar el abismo, los CISO deben demostrar su valor en un lenguaje que la junta y líderes ejecutivos puedan entender; y la empresa debe adoptar la seguridad cibernética desde el principio y durante todo el ciclo de vida de cada iniciativa.