Los humanos somos adictos a las historias. Pero a veces las historias que contamos son demasiado simplistas. En el ámbito de la ciberseguridad una historia recurrente es la de los ejecutivos de la cúpula directiva, siempre en desacuerdo con los expertos de TI. No se interesan por lo que hace el equipo de seguridad y liberan fondos a regañadientes, a menudo de forma reactiva una vez que se ha producido un incidente grave. Esto conduce a un creciente ciberriesgo y a un aumento de la probabilidad de que la organización sufra graves daños financieros y de reputación derivados de futuros incidentes, o eso es lo que se dice.
En realidad las cosas tienen más matices, como revela un nuevo estudio de Trend Micro. Y están lejos de ser reparables. Sin embargo, para evitar caer en los errores del pasado y crear una cultura de seguridad por diseño que se extienda a toda la empresa, es necesario un mayor compromiso por parte de la junta directiva de TI.
Lo digital significa riesgo
Todos conocemos la historia de los dos últimos años. Las inversiones digitales masivas en suites de colaboración SaaS, infraestructura en la nube y otras herramientas ayudaron a mantener a las organizaciones operativas cuando más lo necesitaban. El dinero sigue fluyendo hoy en día, ya que esas mismas empresas se dan cuenta de que deben seguir inyectando fondos en lo digital para seguir siendo competitivas en medio de las crecientes expectativas de los clientes. Gartner predijo que el crecimiento del gasto en la nube pública alcanzaría el 23 % interanual en 2021 y aumentaría un 20 % este año hasta alcanzar los 397.000 millones de dólares.
Desde la perspectiva de la ciberseguridad estas decisiones empresariales están cargadas de riesgos si no se incorporan protecciones a los proyectos desde el principio. Nuestra reciente encuesta global revela que el 90 % de los responsables de la toma de decisiones empresariales y de TI están preocupados por el impacto del ransomware. También se ha descubierto que los niveles de concienciación cibernética entre los miembros de los consejos de administración son generalmente bajos. Menos de la mitad (46 %) de los encuestados afirmó que conceptos como «riesgo cibernético» y «gestión de riesgos cibernéticos» eran ampliamente conocidos en su organización.
El panorama está cambiando rápidamente
Sin embargo, las cosas no son tan malas como parecen a primera vista. El grupo más numeroso de organizaciones (42 %) afirma que invierte la mayor parte de los fondos en la lucha contra los ciberataques, en lugar de los sospechosos habituales de transformación digital (36 %) y transformación de la plantilla (27 %). La mitad afirmó haber invertido recientemente en la mitigación del riesgo de ataques de ransomware y brechas.
Lo cierto es que muchos directivos entienden la necesidad de una mayor inversión en seguridad como motor de crecimiento estratégico. Pero les resulta difícil seguir el ritmo de un panorama de amenazas que se mueve a la velocidad de la luz. En el caso de las vulnerabilidades solían pasar meses o años antes de ser explotadas, por ejemplo, pero hoy en día los actores de las amenazas trabajan en explotar errores como Log4Shell a las pocas horas de su descubrimiento. Esto hace que el cambiante panorama de los riesgos sea difícil de comprender incluso para los líderes de la alta dirección con conocimientos de tecnología. Como resultado, el ciberriesgo se sigue gestionando de forma reactiva, lo que hace que la organización esté siempre a la defensiva.
¿Qué pasa después?
¿Dónde nos deja esto? Es necesario un compromiso más regular con la alta dirección. En la actualidad, solo alrededor de la mitad (57 %) de los encuestados afirma que debate los ciberriesgos con la junta directiva al menos semanalmente. Cuando se reúnan, los responsables de TI deben hablar un lenguaje que entiendan estos ejecutivos, para que puedan calcular el impacto potencial de una amenaza para el negocio y cómo gestionarla.
Por último, se trata de compartir la responsabilidad en toda la organización. La mayor parte de los encuestados afirmó que la responsabilidad debería recaer en última instancia en el director general, mientras que una considerable minoría también dijo que cargos como los directores financieros (28 %) y los directores de marketing (22 %) deberían asumir la responsabilidad. En realidad, la seguridad es responsabilidad de todos. Y cuanto antes las organizaciones puedan transmitir y hacer cumplir este mensaje, desde la cúspide, mejor.
José Battat
Director general de Trend Micro Iberia