Los directivos españoles desconocen conceptos básicos de ciberseguridad, según Kaspersky

La compañía de ciberseguridad lo ha constatado en una investigación que además advierte que no siempre están preparados para admitir su falta de conocimiento.

Guardar

Ciberseguridad
Ciberseguridad

Aunque en cualquier empresa ya se ha convertido en una norma que la ciberseguridad se tenga en cuenta en las decisiones comerciales, más de la mitad de los ejecutivos no están seguros de que los gastos en esta área se destinen a los riesgos más importantes para la organización. Así lo puso de manifiesto un estudio de PwC sobre el que ha puesto el foco Kaspersky en una nueva investigación que ha realizado con el objetivo de ayudar a los departamentos de TI y jefes de equipo a encontrar puntos en común y a descubrir dónde está la raíz de los malentendidos.

La investigación de la compañía de ciberseguridad refleja que hay veces en las que los altos ejecutivos tienen dificultades para comprender a sus homólogos del departamento de TI y que, además, no siempre están preparados para reconocer su falta de conocimiento.

En cuanto a España, los resultados arrojan que el 18% de los directivos que no pertenecen al departamento de TI reconoce que no se sentirían cómodos al tener que admitir que no entienden algo durante una reunión, tanto con el departamento de TI como con el departamento de ciberseguridad de TI. Así, la mayoría de ellos oculta su confusión y opta por aclararlo todo después de la reunión, bien preguntando o bien haciéndolo por sí mismos. En concreto, el 33% prefiere no hacer preguntas porque considera que sus compañeros de TI no pueden explicarlo de una forma clara. Además, la mitad no quiere que el resto del equipo se dé cuenta de que no lo entiende y un 44% prefiere consultar sus dudas con otra persona que no esté presente en la reunión.

Por otra parte, el estudio de Kaspersky ha concluido que todos los directivos encuestados hablan regularmente sobre problemas relacionados con la ciberseguridad con los responsables de seguridad de TI de sus organizaciones. Sin embargo, alrededor de uno de cada diez directivos españoles consultados admite que nunca ha oído hablar de amenazas como Botnet (15%), APT (6%) o vulnerabilidades Zero-Day (9%). Por el contrario, términos como spyware, malware, troyanos y phishing son más familiares para estos altos ejecutivos.

"La alta dirección que no pertenece al departamento TI no tiene que ser necesariamente experta en conceptos complejos de ciberseguridad. Es algo que deben tener en cuenta los ejecutivos de seguridad TI cuando se comunican con ellos", advierte Sergey Zhuykov, arquitecto de Soluciones en Kaspersky.

"Para establecer una cooperación eficiente, el CISO debe centrar la atención de los altos ejecutivos en los detalles más significativos y explicar con claridad qué hace exactamente la empresa para reducir los riesgos en ciberseguridad. Además, debe mostrar métricas sencillas e inteligibles; se deben ofrecer soluciones en lugar de problemas", apunta Zhuykov.

¿Cómo facilitar la comunicación entre las áreas de seguridad TI y negocio?

Kaspersky ha respondido a esta pregunta ofreciendo estas cinco recomendaciones:

  • La seguridad TI debe posicionarse como un vehículo de crecimiento e innovación en la organización. Para conseguirlo, el equipo de seguridad TI debe huir de lo complicado y centrarse en cómo el negocio puede alcanzar sus objetivos mitigando los riesgos en ciberseguridad.
  • El CISO debe participar activamente en las actividades operativas y tender lazos entre los departamentos de la empresa. Apenas un 20% de los CISO han establecido relaciones con ejecutivos clave en áreas como ventas, finanzas y marketing, por lo que les resulta difícil mantenerse al tanto de las necesidades del negocio.
  • Al comunicarse con la dirección, hay que proponer argumentos basados en la visión de las amenazas por parte de expertos, en la vulnerabilidad frente a ciberataques y en cuáles son las mejores prácticas en este sentido.
  • Es necesario explicar a la alta dirección las principales responsabilidades del equipo de seguridad TI. Si es posible, hay que ofrecerles la oportunidad de ponerse en el lugar del CISO para obtener información sobre los desafíos más relevantes en ciberseguridad.
  • Destinar la inversión en ciberseguridad a herramientas de eficacia y ROI probados. La reducción de los falsos positivos, el recorte de la duración en la detección de ataques, el tiempo dedicado a solucionar cada incidente y otras métricas son importantes para cualquier equipo de seguridad TI.