¿Cómo un negocio puede acortar la brecha de ciberseguridad?

Por

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.

4 minutos de lectura 16 ene 2020

Los líderes de seguridad y sus juntas directivas no siempre se ocupan plenamente de cómo afrontar los riesgos sistémicos que plantean las amenazas cibernéticas.

Casi dos tercios de las empresas no están incorporando la ciberseguridad en una fase temprana, ya que se centran en proyectos de transformación e innovación tecnológica, según revela una nueva investigación de EY. Las primeras conclusiones de la última Encuesta sobre la Seguridad de la Información Global de EY (GISS, por su siglas en inglés) revelan que solo se pide a un 36% de los equipos de seguridad cibernética que desempeñen un papel temprano e integral en esas iniciativas.

El problema, que amenaza con socavar gravemente los esfuerzos de muchas organizaciones por explotar la digitalización y la tecnología emergente, parece derivarse de la falta de compromiso, comprensión y conciencia de los riesgos entre los consejos de administración de las empresas, otras funciones del negocio y el equipo de seguridad cibernética. Si no se subsanan esas deficiencias, los equipos de seguridad cibernética seguirán teniendo dificultades para obtener los recursos, el apoyo y la condición que necesitan para proteger adecuadamente a sus organizaciones.

En este momento, aunque muchas organizaciones afirman que sus equipos de seguridad cibernética tienen buenas relaciones con funciones adyacentes como IT, la auditoría, el riesgo y el derecho, les preocupa la falta de conexión con otras partes del negocio. Por ejemplo, el 74% dice que la relación entre la ciberseguridad y la comercialización es, en el mejor de los casos, neutra, a desconfiada o inexistente; el 64% dice lo mismo del equipo de investigación y desarrollo; el 59% de las líneas de negocio. Los equipos de ciberseguridad incluso obtienen una mala puntuación en su relación con las finanzas de las que dependen para la autorización del presupuesto, donde el 57% de las empresas dicen que se quedan cortas.

Estos hallazgos son particularmente preocupantes ya que el GISS de este año, que entrevistó a casi 1.300 empresas de todo el mundo, subraya las advertencias de que el nivel de amenaza sigue aumentando. Revela que el 59% de las empresas han experimentado un aumento en el número de ataques destructivos en los últimos 12 meses. De ellos, más de la mitad han sido golpeados por un aumento del 10% o más.

Ese aumento de los ataques es una de las razones por las que los CEO consideran ahora la ciberseguridad como uno de los riesgos más urgentes a los que se enfrentan. El Estudio Imperativo del CEO 2019 de EY reveló que los CEOs creen que la ciberseguridad nacional y corporativa es la mayor amenaza que enfrenta la economía mundial en los próximos 10 años.

Sin embargo, el GISS de este año revela una brecha entre la intención y la práctica, ya que muchas organizaciones no trabajan lo suficientemente cerca de sus juntas directivas en materia de seguridad cibernética.

Dónde mejorar

Mientras que la mayoría de las empresas dicen que sus juntas directivas tienen al menos cierta participación en el establecimiento y aprobación de la estrategia, dirección y presupuesto de sus programas de seguridad cibernética, solo una minoría está completamente involucrada en este trabajo.

Un problema para muchas juntas es que no se sienten equipadas para comprender los riesgos a los que se enfrentan sus organizaciones o las medidas que podrían mitigar esos riesgos. La prioridad ahora para los directores de seguridad de la información (CISO, por sus siglas en inglés) debe ser dar a los altos líderes de la empresa una mejor comprensión de la seguridad cibernética.

Estarán empujando a una puerta abierta: las propias juntas están deseosas de mejorar en esta área, y casi la mitad de aquellos donde hay un déficit de conocimiento ahora están tomando medidas para remediarlo. Sólo el 25% de los encuestados en el GISS dicen que son capaces de cuantificar el riesgo en términos financieros – o de negocios. Mientras tanto, los primeros resultados de la Encuesta sobre el Riesgo de la Junta Global de EY sugieren que solo el 20% de las juntas tienen una confianza extrema en las medidas de mitigación de los ataques cibernéticos de sus organizaciones.

Encuesta sobre el Riesgo de la Junta Global de EY

20%

de las juntas directivas tienen una confianza extrema en las medidas de mitigación de los ataques cibernéticos de sus organizaciones.

La incapacidad del equipo de seguridad y del equipo directivo para comunicar eficazmente la importancia y el valor de la seguridad, junto con el déficit de relaciones, ayuda a explicar el fracaso generalizado de implantar la ciberseguridad en la fase más temprana del diseño de nuevas iniciativas comerciales basadas en la tecnología. Como cualquier profesional de la seguridad atestiguará, no diseñar iniciativas de seguridad y resistencia en el interior desde el principio, como se diseñaría el equipo de seguridad en un coche antes de ponerlo en la carretera, es una receta para el fracaso.

En este contexto, la desconexión entre los equipos de seguridad cibernética y los altos directivos de las empresas puede ser muy perjudicial. Muchas juntas y líderes ejecutivos no aprecian completamente el valor de sus programas de ciberseguridad o no han estudiado sus necesidades en detalle. Lo más importante es que no ven la seguridad como un requisito estratégico que debe considerarse durante las etapas de planificación de cualquier nueva iniciativa. Por lo tanto, los CISO que no logren establecer relaciones más sólidas con sus juntas y socios seguirán luchando en el papel de "bombero", en contraposición al de asesor estratégico que puede ayudar a los líderes empresariales a tomar decisiones importantes sobre la compensación de riesgos.

¿Un nuevo papel para el CISO?

¿Cómo puede la función de seguridad cibernética abordar estas cuestiones? Un desafío será establecer con más detalle el valor que genera. Por ejemplo, solo el 7% de las empresas confían en poder cuantificar, en términos financieros, el impacto de una violación de la seguridad cibernética.

Aumentar el perfil de las cuestiones de seguridad cibernética a nivel de la junta es también crucial. Casi un tercio de las empresas (32%) dicen que la ciberseguridad es un tema de la agenda de la junta solo anualmente – o nunca. Y en muchas empresas, el tema llega a la agenda de manera puntual.

Estos datos muestran que los CISO deben replantearse sus funciones al tratar de proteger a sus organizaciones del riesgo de la ciberseguridad. Si bien seguirán necesitando una sólida capacidad técnica y conocimientos especializados, su capacidad para forjar relaciones más sólidas a nivel de la junta y con otras funciones es cada vez más importante.

Las organizaciones de todas las industrias se enfrentan ahora a los retos de la disrupción y a la rápida aparición de oportunidades importantes, y son sus CISO las que tienen una oportunidad sin precedentes de convertirse en agentes de cambio. Aquellos CISO que eleven su perfil, consoliden su posición en el centro de la empresa y ofrezcan formas preventivas de mitigar el riesgo se convertirán en facilitadores clave de la transformación estratégica.

Resumen

Las nuevas investigaciones de EY sugieren que no todos los consejos de administración de las empresas o los líderes ejecutivos entienden los riesgos cibernéticos a los que se enfrentan sus negocios – como resultado, muchos no están enfrentando este problema. Los CISO comparten la responsabilidad: es posible que ahora tengan que replantearse sus funciones para abordar esta problemática.

Acerca de este artículo

Por

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.