La ciberseguridad en la junta directiva

A medida que aumenta la transformación digital, ha emergido una declaración de la industria: «La ciberseguridad es un problema de la junta directiva». Para crear realmente una cultura de ciberseguridad, los ejecutivos deben estar más comprometidos y presentes en lo que respecta a estrategias de ciberseguridad.

17 de febrero de 2021

Para conectar un clásico aforismo al rol de ejecutivo: «La responsabilidad es mía». En definitiva, esto significa que los directores corporativos son responsables de todos los aspectos de la empresa que supervisa, esto incluye la protección de los activos tecnológicos críticos para la empresa. A medida que las ciberamenazas siguen creciendo, es imperativo fortalecer todas las prácticas de seguridad. Enterprise Strategy Group (ESG) encuestó a 365 profesionales de TI, ciberseguridad y líderes empresariales de occidente con el fin de evaluar las comunicaciones, la colaboración y la productividad entre ejecutivos y equipos de TI y ofrecer una serie de mejoras estructurales para mejorar el alineamiento de la empresa con la seguridad en las distintas organizaciones.

Hay una necesidad apremiante de que los directores corporativos y CEO lideren con el ejemplo

Según los datos de ESG, la gran mayoría de los encuestados (82 %) notificaron un aumento del ciberriesgo en los dos últimos años. Esto se debe principalmente a un aumento de las amenazas, la expansión de la superficie de ataque corporativa y al hecho de que los procesos empresariales y de las organizaciones se basan más que nunca en la tecnología.

La seguridad sigue considerándose un problema tecnológico principalmente (41 %) o totalmente (21 %).

Estos números son alarmantes cuando tiene en cuenta que, en los últimos 12 meses, ha habido un constante aumento en la adopción de procesos de transformación digital. En lo que respecta a los ejecutivos de la junta directiva, hay una falta de compromiso. Esto significa que una gran mayoría de CISO solo están dispuestos a invertir lo mínimo indispensable en lo que respecta a los requisitos de protección y cumplimiento de normativa.

Un gran porcentaje de organizaciones se contentan con una «seguridad bastante buena».

Dentro de la comunidad de seguridad existe la preocupación de que los ejecutivos solo están predispuestos a invertir en tecnologías, procesos y equipos de ciberseguridad que ayuden a la organización a cumplir con las regulaciones y proporcionen una protección rudimentaria. Esto ha llevado al dicho de que «las organizaciones no quieren una seguridad buena, quieren una seguridad ‘suficientemente buena’». Desafortunadamente, este sigue siendo un problema extendido en las empresas.

La mayoría (54 %) califican el compromiso de su empresa con la higiene cibernética como adecuado, justo o pobre.

Mientras que menos de la mitad de las organizaciones (41 %) calificaron el compromiso con la ciberseguridad de sus ejecutivos de la junta directiva solo como adecuado o justo. La falta de compromiso de la junta directiva puede llevar a una escasa higiene cibernética, así como a seguridad que no está debidamente integrada en los procesos empresariales.

¿Qué se puede hacer para mejorar el alineamiento de la ciberseguridad con las empresas?
Cuando los ejecutivos de la junta directiva están más comprometidos y educados en materia de ciberseguridad, realizan preguntas más difíciles, indagan más en los problemas y están más dispuestos a que la ciberseguridad forme parte de las preocupaciones empresariales.

Según ESG, las tres principales acciones sugeridas por los encuestados y que podrían mejorar el alineamiento de la ciberseguridad con la empresa, son:

  1. Implicar al equipo de seguridad en los planes de la empresa y las principales iniciativas mucho antes en el proceso (33 %)  
  2. Mejorar/aumentar la formación en seguridad para los ejecutivos empresariales (33 %)
  3. Mejorar la recopilación de datos y análisis para fortalecer la toma de decisiones sobre el ciberriesgo (32 %)

Los encuestados de ESG ofrecieron soluciones para cerrar la brecha de ciberseguridad y empresarial:

  1. Contratar o designar responsables de seguridad de la información empresarial (BISO) para que impulse la seguridad a un nivel granular en los procesos empresariales, activos críticos, datos sensibles y roles de empleado.
  2. Desarrollar un programa completo, documentado y formalizado utilizando KPI para ayudar a que los CISO se comuniquen mejor con sus juntas.
  3. Modificar las estructuras de notificación para que los CISO informen directamente a sus CEO. Esto se traduce en una mayor exposición de seguridad para los CEO y una mayor contribución empresarial para los equipos de ciberseguridad.

Obtenga una valiosa información sobre las relaciones entre la seguridad y los ejecutivos empresariales, donde se realiza el progreso, y una comparación sobre la diferencia entre las organizaciones líderes y las más rezagadas. Lea La ciberseguridad en la junta directiva de ESG.