Encuesta sobre el Riesgo de la Junta Global de EY
20%de las juntas directivas tienen una confianza extrema en las medidas de mitigación de los ataques cibernéticos de sus organizaciones.
La incapacidad del equipo de seguridad y del equipo directivo para comunicar eficazmente la importancia y el valor de la seguridad, junto con el déficit de relaciones, ayuda a explicar el fracaso generalizado de implantar la ciberseguridad en la fase más temprana del diseño de nuevas iniciativas comerciales basadas en la tecnología. Como cualquier profesional de la seguridad atestiguará, no diseñar iniciativas de seguridad y resistencia en el interior desde el principio, como se diseñaría el equipo de seguridad en un coche antes de ponerlo en la carretera, es una receta para el fracaso.
En este contexto, la desconexión entre los equipos de seguridad cibernética y los altos directivos de las empresas puede ser muy perjudicial. Muchas juntas y líderes ejecutivos no aprecian completamente el valor de sus programas de ciberseguridad o no han estudiado sus necesidades en detalle. Lo más importante es que no ven la seguridad como un requisito estratégico que debe considerarse durante las etapas de planificación de cualquier nueva iniciativa. Por lo tanto, los CISO que no logren establecer relaciones más sólidas con sus juntas y socios seguirán luchando en el papel de "bombero", en contraposición al de asesor estratégico que puede ayudar a los líderes empresariales a tomar decisiones importantes sobre la compensación de riesgos.
¿Un nuevo papel para el CISO?
¿Cómo puede la función de seguridad cibernética abordar estas cuestiones? Un desafío será establecer con más detalle el valor que genera. Por ejemplo, solo el 7% de las empresas confían en poder cuantificar, en términos financieros, el impacto de una violación de la seguridad cibernética.
Aumentar el perfil de las cuestiones de seguridad cibernética a nivel de la junta es también crucial. Casi un tercio de las empresas (32%) dicen que la ciberseguridad es un tema de la agenda de la junta solo anualmente – o nunca. Y en muchas empresas, el tema llega a la agenda de manera puntual.
Estos datos muestran que los CISO deben replantearse sus funciones al tratar de proteger a sus organizaciones del riesgo de la ciberseguridad. Si bien seguirán necesitando una sólida capacidad técnica y conocimientos especializados, su capacidad para forjar relaciones más sólidas a nivel de la junta y con otras funciones es cada vez más importante.
Las organizaciones de todas las industrias se enfrentan ahora a los retos de la disrupción y a la rápida aparición de oportunidades importantes, y son sus CISO las que tienen una oportunidad sin precedentes de convertirse en agentes de cambio. Aquellos CISO que eleven su perfil, consoliden su posición en el centro de la empresa y ofrezcan formas preventivas de mitigar el riesgo se convertirán en facilitadores clave de la transformación estratégica.
Resumen
Las nuevas investigaciones de EY sugieren que no todos los consejos de administración de las empresas o los líderes ejecutivos entienden los riesgos cibernéticos a los que se enfrentan sus negocios – como resultado, muchos no están enfrentando este problema. Los CISO comparten la responsabilidad: es posible que ahora tengan que replantearse sus funciones para abordar esta problemática.