El 50% de los directivos de TI y el 38% de los responsables de la toma de decisiones empresariales creen que la alta dirección entiende completamente los riesgos cibernéticos. Aunque algunos piensan que esto se debe a que el tema es complejo y está en constante cambio, muchos creen que la alta dirección no se esfuerza lo suficiente (26%) o no quiere entenderlo (20%).

También existe un desacuerdo entre los directivos de TI y de negocio sobre quién es el responsable último de gestionar y mitigar el riesgo, afirma un estudio de Trend Micro Incorporated. Los directivos de TI tienen casi el doble de probabilidades que los responsables de negocio de señalar a los equipos de TI y al CISO. El 49% de los encuestados afirma que los riesgos cibernéticos se siguen tratando como un problema de TI y no como un riesgo empresarial.

«Los responsables de la toma de decisiones en materia de TI nunca deberían restar importancia a la gravedad de los riesgos cibernéticos ante la junta directiva. Pero es posible que tengan que modificar su lenguaje para que ambas partes se entiendan», explica Phil Gough, jefe de seguridad y protección de la Información en Nuffield Health. Este es el primer paso para alinear la estrategia de ciberseguridad con la de la empresa, y es un paso crucial. Articular los ciberriesgos en términos de negocio hará que se les preste la atención que merecen, y ayudará a los directivos a reconocer que la seguridad es un factor de crecimiento, no un obstáculo para la innovación».

Falta de incoherencia, impacto en los costes… ¿llegamos a un acuerdo?

Esta fricción está causando problemas potencialmente graves: el 52% de los encuestados está de acuerdo en que la actitud de su organización ante el ciberriesgo es incoherente y varía de un mes a otro. Sin embargo, el 31% de los encuestados cree que la ciberseguridad es el mayor riesgo empresarial en la actualidad, y el 66% afirma que tiene el mayor impacto en términos de costes de todos los riesgos empresariales, una opinión aparentemente contradictoria dada la disposición general a comprometer la seguridad.

Hay tres formas principales en las que los encuestados creen que los ejecutivos de nivel C se sentarán y tomarán nota del riesgo cibernético:

  • El 62% cree que haría falta que se produjera una brecha en su organización
  • El 62% apunta que sería útil si pudieran informar mejor y explicar más fácilmente el riesgo empresarial de las ciberamenazas
  • El 61% afirma que influiría que los clientes empezaran a exigir credenciales de seguridad más sofisticadas

«Para que la ciberseguridad se convierta en una cuestión de la junta directiva, la dirección debe llegar a considerarla como un verdadero factor de negocio«, apunta Marc Walsh, arquitecto de seguridad empresarial de Coillte. «Esto llevará a los responsables de TI y de seguridad a articular sus retos a la junta directiva en el lenguaje del riesgo empresarial. Y requerirá inversiones prioritarias y proactivas desde la sala de juntas, no solo soluciones de parcheo tras una brecha”.