Muchos ataques recientes de gran repercusión demuestran lo vulnerables que son las organizaciones ante la creciente intensidad y sofisticación de las amenazas. Sus consejos de administración se están dando cuenta de ello. No hace mucho, los consejeros consideraban que la seguridad era un problema exclusivo del CISO o el CIO, pero ahora por fin es un tema de debate en la junta directiva.
Un nuevo informe, Ciberseguridad: el punto de vista de los consejos de administración en 2022, de Proofpoint y Cybersecurity at MIT Sloan (CAMS), revela que la seguridad ocupa un lugar prioritario en el orden del día de los consejos de administración. En las encuestas que realizamos a 600 consejeros de todo el mundo, el 77 % respondió que la seguridad es una prioridad en su consejo de administración y el 76 % que es una cuestión de la que hablan al menos una vez al mes. Visto este creciente interés, los consejeros tienen mayor confianza en el éxito de sus esfuerzos, ya que tres cuartos creen que el consejo entiende claramente el riesgo sistémico y el 76 % opina que se han realizado las inversiones necesarias en seguridad.
Sin embargo, con el rápido aumento de las fugas de datos (y basándonos en otros datos de nuestro informe), no parece que el debate haya dado lugar a más y mejores medidas para reforzar el nivel de preparación y resiliencia. Casi dos tercios de los consejeros encuestados creen que su organización corre el riesgo de sufrir un ataque importante en los próximos 12 meses, mientras que casi la mitad considera que además su organización carece de la preparación necesaria para hacer frente a un ataque dirigido.
Al comparar las opiniones de los consejeros con las perspectivas de nuestro reciente informe Voice of the CISO 2022, salieron a la luz algunas de las razones por las que una mayor concienciación no se traduce en acciones. Hay una falta de conexión entre ambas partes, no solo respecto a los problemas derivados de los riesgos y las amenazas, sino también en cómo se relacionan entre sí.
Por ejemplo, en las empresas donde el 65 % de los consejeros cree que su organización corre el riesgo de sufrir un ataque importante, solo el 48 % de los CISO comparte esta opinión. ¿Qué saben los CISO que ignoran los consejos de administración? ¿Utilizan los CISO tantos tecnicismos que su discurso no hace mella en los consejeros?
¿O se debe esta falta de conexión a unas relaciones tensas? Según nuestro informe, el 69 % de los consejeros no está de acuerdo con la visión de sus CISO, pero solo el 51 % de los CISO es de la misma opinión. Si ni siquiera se ponen de acuerdo en su percepción mutua, ¿cómo pueden acercar posturas en las cuestiones de seguridad cruciales? Con prioridades divergentes, resulta difícil conseguir los votos del consejo para adoptar una estrategia defensiva.
Dado que los ciberdelincuentes aprovechan nuestra creciente dependencia de la economía digital, ahora es más importante que nunca que los consejos de administración y los CISO se pongan de acuerdo. Sin una relación estrecha entre los CISO y los consejos, será cada vez más difícil proteger a las personas y los datos, porque una empresa solo triunfa cuando ambas partes trabajan en armonía.
Teniendo en cuenta la disparidad detectada, no me sorprende que solo dos tercios de los consejeros consideraran el error humano como la mayor cibervulnerabilidad, a pesar de que, según el Foro Económico Mundial, este riesgo provoca el 95 % de todos los ciberincidentes. Las personas son nuestra primera línea de defensa, por lo que, si no conocen estas vulnerabilidades y aprenden a mitigar sus riesgos, las organizaciones quedan a merced de las amenazas internas y externas. Esto significa que todas las personas de la organización (incluidos los miembros del consejo) deben ser conscientes de las posibles amenazas y saber dónde ponerse en guardia contra ellas.
Los consejeros son especialmente necesarios para fomentar una cultura corporativa de seguridad y resiliencia, pues no solo sirven de ejemplo para adoptar conductas que minimicen los riesgos, sino también para alcanzar las prioridades en todos los niveles de la organización. Me alegra ver que, por fin, se están tomando en serio su papel en la seguridad. Pero, para asegurar que su entusiasmo se traduzca en acciones, deben trabajar estrechamente con sus CISO como aliados estratégicos.
Visite https://www.proofpoint.com/es/resources/white-papers/board-perspective-report para leer los resultados del informe Ciberseguridad: el punto de el punto de vista de los consejos de administración en 2022.