La respuesta  a la pregunta ¿están alineados los responsables de Seguridad y de Negocio? es obvia a nuestro titular debería de ser SI. Además el Esquema Nacional de Seguridad y la CISA establecen que el responsable de seguridad de la información (CISO) debe reportar al máximo nivel ejecutivo de la empresa.

Sin embargo, tradicionalmente esto no ha sido así. Aún en muchas organizaciones el CISO reporta al CIO, aunque esto está cambiando en la dirección correcta y los CISOs están comenzando a reportar al Consejero Delegado o a una Dirección General.

En los casos en que este cambio organizativo no se ha producido, es posible que sea necesario un cambio cultural. De hecho, en este tipo de organizaciones suele existir una falta de alineamiento entre los ejecutivos de negocio, y los que tienen el foco y la responsabilidad en la seguridad.

Así lo revela un estudio del World Economic Forum publicado recientemente en el que han entrevistado a 120 CISOs en 20 paises, de los cuales un 39% habían sufrido al menos un incidente de ciberseguridad en los últimos dos años.

Según este estudio existe un importante desfase entre ambos grupos. Así un 92% de los ejecutivos de negocio cree que existe una buena integración entre la ciberresiliencia y la gestión de riesgo del negocio, mientras que solo un 55% de los ejecutivos con foco en ciberseguridad piensa la mismo.

Del estudio se desprenden muchas conclusiones en este ámbito. Destaco a continuación las de mayor transcendencia:

  • 81% identifica la transformación digital como la tendencia más importante que está impulsando la ciberresiliencia, y el 87% de las empresas están trabajando en mejorarla, fortaleciendo sus políticas, procesos y estándares en lo que se refiere a la gestión de la cadena de suministro.
  • La ciberseguridad está ganando soporte ejecutivo y actualmente para el 84% se considera una de las prioridades del negocio, aunque solo un 68% lo tienen integrado en la gestión de riesgo empresarial.
  • La gestión e identificación del talento en ciberseguridad se revela como un factor limitativo. Para el 59% de las empresas la mayor dificultad para responder a un incidente de ciberseguridad se debe a la escasez, y la dificultad para disponer de personal con el perfil y conocimientos adecuados.
  • La amenaza de Ransomware sigue aumentando. El 80% de los responsables de ciberseguridad lo han identificado como una de las mayores preocupaciones, ya que además de la extorsión económica viene acompañado de la fuga de datos.
  • La amenaza interna proveniente de empleados o contratistas desleales es la segunda mayor causa de preocupación.
  • Para el 85%, las empresas medianas y pequeñas se perciben como la mayor fuente de amenazas a la cadena de suministro. Se impone la necesidad de extender las buenas prácticas de ciberseguridad y la ciberresiliencia a los proveedores y contratistas externos.
  • Se reconoce la necesidad de una fuerte normativa y regulación, así como el valor de la colaboración entre empresas del mismo sector. Un 90% han obtenido información relevante de cara a mejorar su ciberresiliecia como resultado de ello.

En definitiva, el estudio registra significativos avances en materia de gestión de la ciberseguridad como parte integral y fundamental del riesgo empresarial. Sin embargo, todavía queda bastante camino por recorrer, especialmente en lo que se refiere a los aspectos organizativos y de gobierno, y a la gestión de la cadena de suministro.

Te dejo con esta reflexión: ¿En tu empresa donde se ubica el CISO, y qué capacidad y recursos tiene para actuar?

El informe de riesgos globales del World Economic Forum, lo puedes descarar aquí

Juan José Martínez Pagán, SP Regional Sales manager SonicWall y presidente del Grupo IT Digital de Autelsi.