Durante los últimos meses, las amenazas cibernéticas han ido en aumento
y una de las razones por las que se ha
generado esta situación es la poca importancia que las empresas le dan a la ciberseguridad.
En este sentido, EY, firma líder en servicios profesionales de auditoría,
impuestos, consultoría, estrategia y transacciones; presenta los resultados de
la 22° Encuesta Global de Seguridad de la Información de EY la cual expone la
realidad de dicha temática en las empresas a nivel mundial y regional.
De acuerdo con la encuesta de EY, presentada en el marco del Día
Internacional de la Ciberseguridad, solo el 36% de las compañías a nivel global
incluye a la ciberseguridad en sus iniciativas empresariales desde la etapa de
planificación, mientras que a nivel Latinoamérica este porcentaje es del 32%.
De la misma manera, el 59% de los encuestados a nivel global y regional afirmó
que la relación entre la ciberseguridad y las líneas de negocios en sus
organizaciones es inexistente o neutral. Paradójicamente, el 80% de las
empresas encuestadas asegura que la prevención de crisis y el manejo de riesgos
en las organizaciones logran impulsar un aumento de presupuesto en el área.
“Las amenazas cibernéticas y de seguridad siguen expandiéndose.
Aproximadamente 6 de cada 10 organizaciones (59%) han enfrentado algún
incidente significativo o grave en los últimos 12 meses y, según lo que muestra
nuestra Encuesta Global de Gestión de Riesgos del Consejo de Administración, el
48% cree que los ataques cibernéticos y violación de datos tendrán un impacto
más que moderado en su negocio en los próximos doce meses” explica Conchita
Jaimes, Consulting Partner en EY Colombia.
La aparición de nuevos riesgos cibernéticos ha generado la necesidad de
que las organizaciones cuenten con un CISO (Chief Information Security
Officer); sin embargo, seis de cada diez organizaciones no cuentan con un
responsable de ciberseguridad que reporte al Consejo de Administración o que
esté posicionado a nivel de la gerencia ejecutiva, aunque el 48% de los
encuestados afirma que el Consejo de Administración y los equipos de gerencia
están completamente involucrados en evaluar los riesgos cibernéticos e
implementan las medidas para defenderse de ellos.
El rol del CISO es ser un intermediario entre el equipo de
ciberseguridad y el Consejo de Administración, pero para que el trabajo
funcione, es necesario que este último comprenda y tome en cuenta a la
ciberseguridad como un factor clave en los procesos de la empresa; no solo como
un mecanismo preventivo, sino como un habilitador de innovación. Según la
encuesta, solo un 7% de las organizaciones a nivel global, y un 4% en
Latinoamérica, relaciona la ciberseguridad con la innovación.
En este contexto, EY hace algunas recomendaciones que cada organización
puede priorizar para aprovechar al máximo la oportunidad:
1. Evaluar la
efectividad de la función de ciberseguridad para capacitar al CISO en nuevas
competencias: Llevar la ciberseguridad a la etapa de planificación de cada
nueva iniciativa empresarial es el modelo óptimo, ya que reduce la energía y el
gasto de resolver problemas después del hecho y genera confianza en un producto
o servicio desde el principio.
2. Construir relaciones
de confianza con cada área de la organización: Cuando la ciberseguridad está
integrada en el negocio, el CISO estará en una posición sólida para ayudar a
impulsar la innovación y estar mejor informados de las amenazas que enfrenta la
organización.
3. Implementar estructuras
de gobernanza que sean aptas para el propósito: Los Consejos de Administración
y líderes del C-suite deberán reflejar el nuevo rol de la ciberseguridad en el
corazón de la innovación. Una vez establecido, se deberán desarrollar los
indicadores clave de desempeño y de riesgos que serán usados para comunicar una
vista centrada en el riesgo.
4. Enfocarse en la
participación del Consejo de Administración: Es vital que las organizaciones
desarrollen informes y formas de cuantificar y comunicar el valor de la
ciberseguridad que sea comprendido por el Consejo de Administración.
5. Evaluar la
efectividad de la ciberseguridad para capacitar a los CISO en nuevas
competencias: Los líderes de ciberseguridad deben tener sentido comercial, la
capacidad de comunicarse en un lenguaje que comprenda la empresa y la voluntad
de encontrar soluciones a los problemas de seguridad.
Hacer esta transición no es sencillo, ni es igual para todas las
organizaciones, lo que hagan hacia adelante tanto los CISO, como el Consejo de
Administración, C-suites y roles individuales, dependerá del estado actual de
sus funciones de ciberseguridad, de sus características y objetivos.
0 Comentarios