Durante los últimos meses, las amenazas cibernéticas han ido en aumento y una de las razones por las que se ha generado esta situación es la poca importancia que las empresas le dan a la ciberseguridad. En este sentido, EY, firma líder en servicios profesionales de auditoría, impuestos, consultoría, estrategia y transacciones; presenta los resultados de la 22° Encuesta Global de Seguridad de la Información de EY la cual expone la realidad de dicha temática en las empresas a nivel mundial y regional.
De acuerdo con la encuesta de EY, presentada en el marco del Día Internacional de la Ciberseguridad, solo el 36% de las compañías a nivel global incluye a la ciberseguridad en sus iniciativas empresariales desde la etapa de planificación, mientras que a nivel Latinoamérica este porcentaje es del 32%. De la misma manera, el 59% de los encuestados a nivel global y regional afirmó que la relación entre la ciberseguridad y las líneas de negocios en sus organizaciones es inexistente o neutral. Paradójicamente, el 80% de las empresas encuestadas asegura que la prevención de crisis y el manejo de riesgos en las organizaciones logran impulsar un aumento de presupuesto en el área.
“Las amenazas cibernéticas y de seguridad siguen expandiéndose. Aproximadamente 6 de cada 10 organizaciones (59%) han enfrentado algún incidente significativo o grave en los últimos 12 meses y, según lo que muestra nuestra Encuesta Global de Gestión de Riesgos del Consejo de Administración, el 48% cree que los ataques cibernéticos y violación de datos tendrán un impacto más que moderado en su negocio en los próximos doce meses”, explica Carlos López Cervantes, Socio Líder de Riesgos y Ciberseguridad en EY Latinoamérica Norte.
La aparición de nuevos riesgos cibernéticos ha generado la necesidad de que las organizaciones cuenten con un CISO (Chief Information Security Officer); sin embargo, seis de cada diez organizaciones no cuentan con un responsable de ciberseguridad que reporte al Consejo de Administración o que esté posicionado a nivel de la gerencia ejecutiva, aunque el 48% de los encuestados afirma que el Consejo de Administración y los equipos de gerencia están completamente involucrados en evaluar los riesgos cibernéticos e implementan las medidas para defenderse de ellos.
El rol del CISO es ser un intermediario entre el equipo de ciberseguridad y el Consejo de Administración, pero para que el trabajo funcione, es necesario que este último comprenda y tome en cuenta a la ciberseguridad como un factor clave en los procesos de la empresa; no solo como un mecanismo preventivo, sino como un habilitador de innovación. Según la encuesta, solo un 7% de las organizaciones a nivel global, y un 4% en Latinoamérica, relaciona la ciberseguridad con la innovación.
En este contexto, EY hace algunas recomendaciones que cada organización puede priorizar para aprovechar al máximo la oportunidad:
1. Evaluar la efectividad de la función de ciberseguridad para capacitar al CISO en nuevas competencias: Llevar la ciberseguridad a la etapa de planificación de cada nueva iniciativa empresarial es el modelo óptimo, ya que reduce la energía y el gasto de resolver problemas después del hecho y genera confianza en un producto o servicio desde el principio.
2. Construir relaciones de confianza con cada área de la organización: Cuando la ciberseguridad está integrada en el negocio, el CISO estará en una posición sólida para ayudar a impulsar la innovación y estar mejor informados de las amenazas que enfrenta la organización.
3. Implementar estructuras de gobernanza que sean aptas para el propósito: Los Consejos de Administración y líderes del C-suite deberán reflejar el nuevo rol de la ciberseguridad en el corazón de la innovación. Una vez establecido, se deberán desarrollar los indicadores clave de desempeño y de riesgos que serán usados para comunicar una vista centrada en el riesgo.
4. Enfocarse en la participación del Consejo de Administración: Es vital que las organizaciones desarrollen informes y formas de cuantificar y comunicar el valor de la ciberseguridad que sea comprendido por el Consejo de Administración.
5. Evaluar la efectividad de la ciberseguridad para capacitar a los CISO en nuevas competencias: Los líderes de ciberseguridad deben tener sentido comercial, la capacidad de comunicarse en un lenguaje que comprenda la empresa y la voluntad de encontrar soluciones a los problemas de seguridad.
Hacer esta transición no es sencillo, ni es igual para todas las organizaciones, lo que hagan hacia adelante tanto los CISO, como el Consejo de Administración, C-suites y roles individuales, dependerá del estado actual de sus funciones de ciberseguridad, de sus características y objetivos.