Solo 3 de cada 10 empresas tiene un modelo de ciberseguridad

Foto: Especial

El confinamiento nos tomó por sorpresa a todos, y en el caso de México, los modelos de ciberseguridad de las organizaciones tuvieron que adaptarse al cambio y en otros casos, la rigidez de las la estrategia de ciberseguridad no permitió más opción que asimilar el riesgo y aceptar que su modelo era poco o nada flexible.

La pandemia demostró que en Latinoamérica sólo 32% de las compresas incluye la ciberseguridad en sus iniciativas empresariales desde la etapa de planificación, así lo revela la 22° Encuesta Global de Seguridad de la Información de EY.

De acuerdo con la encuesta, 59% de las organizaciones afirmó que la relación entre la ciberseguridad y las líneas de negocios en sus organizaciones es inexistente o neutral. Paradójicamente, el 80% de las empresas encuestadas asegura que la prevención de crisis y el manejo de riesgos en las organizaciones logran impulsar un aumento de presupuesto en el área.

“No se puede decir que sea el momento de la ciberseguridad, pero sí se puede decir que ciberseguridad pasará a tener gran protagonismo en la operación de las organizaciones, pasará de ser el “NO” ante muchas iniciativas, a ser el proponente de los nuevos modelos de operación ante la nueva normal”, destacó Carlos López, Socio Líder de Riesgos y Ciberseguridad en EY Latinoamérica Norte.

En el marco del Día Internacional de la Ciberseguridad, Carlos López detalló que seis de cada 10 organizaciones han enfrentado algún incidente significativo o grave en los últimos 12 meses y, “según lo que muestra nuestra Encuesta, el 48% cree que los ataques cibernéticos y violación de datos tendrán un impacto más que moderado en su negocio en los próximos doce meses”.

Empresas, sin responsable de ciberseguridad

La aparición de nuevos riesgos cibernéticos ha generado la necesidad de que las organizaciones cuenten con un CISO (Chief Information Security Officer); sin embargo, seis de cada diez organizaciones no cuentan con un responsable de ciberseguridad que reporte al consejo de administración o que esté posicionado a nivel de la gerencia ejecutiva, aunque 48% de las organizaciones afirma que el consejo de administración y los equipos de gerencia están completamente involucrados en evaluar los riesgos cibernéticos e implementan las medidas para defenderse de ellos.

De acuerdo con el especialista, el rol del CISO es ser un intermediario entre el equipo de ciberseguridad y el consejo de administración; sin embargo, para que el trabajo funcione, es necesario que este último comprenda y tome en cuenta a la ciberseguridad como un factor clave en los procesos de la empresa; no solo como un mecanismo preventivo, sino como un habilitador de innovación, pues solo 4% de las organizaciones en Latinoamérica, relaciona la ciberseguridad con la innovación.

Poca inversión

La encuesta también detalla que solo el 36% de las organizaciones incluyen la ciberseguridad desde el inicio de la etapa de planificación de las nuevas iniciativas de negocio y que los gastos en ciberseguridad son impulsados, principalmente, en el sentido de defensivas en lugar de la innovación y transformación.

En este sentido, 77% de los gastos en nuevas iniciativas se enfocan en los riesgos o el cumplimiento en lugar de las oportunidades y 81% dice que la prevención de crisis y cumplimiento siguen siendo los impulsores principales para aumentar el presupuesto de ciberseguridad.

Además, uno de cada cinco encuestados gasta 5% o menos de su presupuesto en apoyar nuevas iniciativas. La mayoría (60%) de organizaciones afirman que donde hay un enfoque adicional y un gasto en ciberseguridad, se debe a la preocupación por el riesgo.

Cómo implementar un modelo de ciberseguridad

  1. Evaluar la efectividad de la función de ciberseguridad para capacitar al CISO en nuevas competencias: Llevar la ciberseguridad a la etapa de planificación de cada nueva iniciativa empresarial es el modelo óptimo, ya que reduce la energía y el gasto de resolver problemas después del hecho y genera confianza en un producto o servicio desde el principio.
  2. Construir relaciones de confianza con cada área de la organización: Cuando la ciberseguridad está integrada en el negocio, el CISO estará en una posición sólida para ayudar a impulsar la innovación y estar mejor informados de las amenazas que enfrenta la organización.
  3. Implementar estructuras de gobernanza que sean aptas para el propósito: Los Consejos de Administración y líderes del C-suite deberán reflejar el nuevo rol de la ciberseguridad en el corazón de la innovación. Una vez establecido, se deberán desarrollar los indicadores clave de desempeño y de riesgos que serán usados para comunicar una vista centrada en el riesgo.
  4. Enfocarse en la participación del Consejo de Administración: Es vital que las organizaciones desarrollen informes y formas de cuantificar y comunicar el valor de la ciberseguridad que sea comprendido por el Consejo de Administración.
  5. Evaluar la efectividad de la ciberseguridad para capacitar a los CISO en nuevas competencias: Los líderes de ciberseguridad deben tener sentido comercial, la capacidad de comunicarse en un lenguaje que comprenda la empresa y la voluntad de encontrar soluciones a los problemas de seguridad.
CRÉDITO: 
Elizabeth Meza Rodríguez / El Empresario