Un panorama inquietante que además explica muchas veces la falta de iniciativa de las empresas a la hora de invertir en ciberseguridad. Uno de cada cinco altos ejecutivos no reconoce su falta de comprensión cuando se debaten aspectos relacionados con la ciberseguridad. Según un reciente estudio de Kaspersky, casi dos de cada 10 directivos españoles no se sentirían cómodos reconociendo que no comprenden ciertos términos TI.
Según un estudio de PwC, aunque ya es una norma en cualquier empresa que la ciberseguridad se tenga en cuenta en las decisiones comerciales, más de la mitad de los ejecutivos no están seguros de que los gastos en este área se destinen a los riesgos más importantes para la organización. Kaspersky ha realizado una investigación para ayudar a los departamentos de TI y jefes de equipo a encontrar puntos en común y ver dónde está la raíz de los malentendidos.
La encuesta refleja que los altos ejecutivos a veces tienen dificultades para comprender a sus homólogos del departamento de TI, y no siempre están preparados para reconocer su falta de conocimiento. Si nos centramos en España, el 18% de los directivos que no pertenecen al departamento de TI asegura que no se sentirían cómodos al reconocer que no entienden algo durante una reunión, tanto con el departamento de TI como con el departamento de ciberseguridad de TI.
Así, la mayoría de ellos oculta su confusión y decide aclararlo todo después de la reunión, bien preguntando o bien haciéndolo por sí mismos. En concreto, el 33% no hace preguntas porque considera que sus compañeros de TI no pueden explicarlo de una forma clara. Además, la mitad no quiere que el resto del equipo se dé cuenta de que no lo entiende y un 44% prefiere consultar sus dudas con otra persona que no esté presente en la reunión.
A pesar de que todos los directivos encuestados hablan regularmente sobre problemas relacionados con la ciberseguridad con directores de seguridad de TI, alrededor de uno cada diez encuestados en España nunca ha oído hablar de amenazas como botnet (15%), APT (6%) o vulnerabilidades Zero-Day (9%). Términos como spyware, malware, troyanos y phishing son más familiares para estos altos ejecutivos.
“La alta dirección que no pertenece al departamento TI no tiene que ser necesariamente experta en conceptos complejos de ciberseguridad. Es algo que deben tener en cuenta los ejecutivos de seguridad TI cuando se comunican con ellos”, explica Sergey Zhuykov, arquitecto de soluciones en Kaspersky. “Para establecer una cooperación eficiente, el CISO debe centrar la atención de los altos ejecutivos en los detalles más significativos y explicar con claridad qué hace exactamente la empresa para reducir los riesgos en ciberseguridad. Además, debe mostrar métricas sencillas e inteligibles; se deben ofrecer soluciones en lugar de problemas”.
El papel del CISO con nexo de unión con el negocio
Para facilitar la comunicación entre las áreas de seguridad TI y negocio, Kaspersky recomienda que los expertos en ciberseguridad huyan de lo complicado y se centren en cómo el negocio puede alcanzar sus objetivos mitigando los riesgos. Además, el CISO debe participar activamente en las actividades operativas y tender lazos entre los departamentos de la empresa. Apenas un 20% de los CISO han establecido relaciones con ejecutivos clave en áreas como ventas, finanzas y marketing, por lo que les resulta difícil mantenerse al tanto de las necesidades del negocio.
Si es posible, hay que ofrecer a los directivos la oportunidad de ponerse en el lugar del CISO para obtener información sobre los desafíos más relevantes en ciberseguridad
Al comunicarse con la dirección, el equipo de ciberseguridad debe proponer argumentos basados en la visión de las amenazas por parte de expertos, en la vulnerabilidad frente a ciberataques y en cuáles son las mejores prácticas en este sentido. Hay que explicar a la alta dirección las principales responsabilidades del equipo de seguridad TI. Si es posible, hay que ofrecerles la oportunidad de ponerse en el lugar del CISO para obtener información sobre los desafíos más relevantes en ciberseguridad.
Y, por último, es conveniente destinar la inversión en ciberseguridad a herramientas de eficacia y ROI probados. La reducción de los falsos positivos, el recorte de la duración en la detección de ataques, el tiempo dedicado a solucionar cada incidente y otras métricas son importantes para cualquier equipo de seguridad TI.