En los últimos 12 meses, los ciberataques han sido incesantes. Organizaciones de todos los tamaños se han enfrentado a fugas de datos de gran repercusión, ransomware y ataques a la cadena de suministro, por lo que el debate sobre la ciberseguridad está cobrando importancia en los consejos de administración. Al mismo tiempo, sus miembros piensan que sus respectivas organizaciones están menos preparadas para afrontar problemas de ciberseguridad que el año pasado.
Estas son solo algunas de las conclusiones de Ciberseguridad: el punto de vista de los consejos de administración en 2023, nuestra segunda encuesta anual a miembros de consejos de administración de una amplia variedad de sectores en todo el mundo.
Expondremos primero algunos de los resultados positivos de este segundo informe anual. De los 659 consejeros encuestados en 12 países:
- El 73 % cree que la ciberseguridad es una prioridad para el consejo
- El 72 % piensa que el consejo entiende a qué amenazas se enfrenta
- El 70 % afirma que han invertido lo necesario en recursos
Sin embargo, este aumento de conciencia e inversión no se ha traducido en una mejora del nivel de seguridad. El 73 % de los consejeros cree que su empresa corre el riesgo de sufrir un ciberataque importante en los próximos 12 meses, una subida con respecto al 65 % de 2022. Y el 53 % afirma que su empresa no está preparada para hacer frente a un ciberataque dirigido, cifra que supera el 47 % del año anterior.
Este cambio quizá refleje la volatilidad del panorama de amenazas del pasado año. También tiene que ver la preocupación que suscitan las tecnologías emergentes, como la inteligencia artificial generativa (IA). Más de la mitad de los encuestados (59 %) cree que las herramientas de IA generativa como ChatGPT son un riesgo para la seguridad de su negocio.
Mejor comunicación y mayor consenso entre los miembros del consejo y los CISO
Otra conclusión de nuestro estudio es que la relación entre el consejo de administración y los CISO está mejorando. Para empezar, hablan con más frecuencia. El 53 % de los consejeros sostienen que interactúan regularmente con los responsables de seguridad de su empresa, lo que supone un incremento respecto al 47 % de 2022. Pero todavía hay margen de mejora. Menos de dos tercios (64 %) de los miembros de los consejos de administración aseguran entender los problemas de ciberseguridad lo suficientemente bien como para mantener un debate informado con el CISO.
También hemos constatado que los miembros de los consejos de administración y los CISO se entienden mejor cuando interaccionan. Casi dos tercios (65 %) de los consejeros encuestados declaran coincidir con su CISO. Las conclusiones concuerdan con nuestro informe Voice of the CISO publicado en mayo. En aquel informe, el 62 % de los CISO encuestados manifestaron que el consejo de administración coincide con ellos en los temas de ciberseguridad, frente al 51 % en 2022.
Parece que quizá los consejeros y los CISO estén por fin dejando atrás su largo historial de tensas relaciones, lo cual evidentemente es una buena noticia. Esta mayor armonía entre ambos será fundamental para que prosperen los esfuerzos de sus respectivas empresas por mejorar su nivel de preparación y realizar inversiones estratégicas en ciberseguridad en los próximos años.
Tema del orden del día del consejo: seguir difundiendo conocimientos sobre ciberseguridad
Aunque la presencia de un directivo de seguridad en el consejo directivo resulta tranquilizadora, los consejeros no deben ser autocomplacientes. Ahora que ya casi hablan el mismo idioma que el CISO, los miembros del consejo deben llevar a cabo una evaluación sincera de las capacidades de ciberseguridad de su empresa y actuar para ayudar a cubrir las lagunas de sus defensas.
Claro que es positivo que el nivel de sensibilización en el consejo ya no sea un obstáculo para la agenda de ciberseguridad. Pero sigue siendo difícil traducir conciencia en acción estratégica.
Antes incluso de que se anunciaran las recientes reglas de la Securities and Exchange Commission (SEC), estaba claro que los consejos de administración deben profundizar sus conocimientos de los riesgos de ciberseguridad. También deben asegurarse de que las estrategias de mitigación de riesgos puedan defender adecuadamente a sus empleados y sus datos, no solo en el panorama de amenazas actual, sino también a largo plazo.
Lea el informe Ciberseguridad: el punto de vista de los consejos de administración en 2023 para ver todos los resultados de nuestro estudio.