El 90% de los responsables de toma de decisiones de TI considera que su empresa no tiene problema en comprometer su ciberseguridad en favor de cosas como la transformación digital, la productividad u otros objetivos.
Esta es una de las principales conclusiones que arroja el último estudio de la compañía de seguridad Trend Micro. La firma le encargó el estudio a la empresa de investigación Sapio Research, la cual entrevistó a más de 5.300 responsables de la toma de decisiones de negocio y de TI de organizaciones de más de 250 empleados en 26 países.
En el mismo también se pone de manifiesto que un 82% de estos empleados se han sentido presionados de alguna manera para minimizar la gravedad de los riesgos cibernéticos ante la junta directiva de su compañía.
Jordi Cruz, director técnico de Trend Micro Iberia subraya cómo estos profesionales suelen autocensurarse ante sus consejos de administración, en parte por miedo a no resultar demasiado negativos o repetitivos. Un tercio de los mismos señala también que esta es una presión constante.
"Tenemos que hablar del riesgo de una manera que enmarque la ciberseguridad como un motor fundamental del crecimiento empresarial, ayudando a unir a los líderes de TI y de negocios que, en realidad, están luchando ambos por la misma causa”, asegura Cruz.
La investigación revela que solo el 50% de los directivos de TI y el 38% de los responsables de la toma de decisiones empresariales cree que la alta dirección entiende completamente los riesgos cibernéticos. Aunque algunos piensan que esto se debe a que el tema es complejo y está en constante cambio, muchos consideran que la alta dirección no se esfuerza lo suficiente (26%) o no quiere entenderlo (20%).
También existe un desacuerdo entre los directivos de TI y de negocio sobre quién es el responsable último de gestionar y mitigar el riesgo. Los directivos de TI tienen casi el doble de probabilidades que los responsables de negocio de señalar a los equipos de TI y al CISO. El 49% de los encuestados asegura que los riesgos cibernéticos se siguen tratando como un problema de TI y no como un riesgo empresarial.
6 de cada 10 creen que solo entrarán en razón si hay una brecha
Esta fricción está causando problemas potencialmente graves: el 52% de los encuestados está de acuerdo en que la actitud de su organización ante el ciberriesgo es incoherente y varía de un mes a otro.
Sin embargo, el 31% de los encuestados cree que la ciberseguridad es el mayor riesgo empresarial en la actualidad, y el 66% afirma que tiene el mayor impacto en términos de costes de todos los riesgos empresariales, una opinión aparentemente contradictoria dada la disposición general a comprometer la seguridad.
Para que los ejecutivos de nivel C comprendan la dimensión del problema y lo que hacen los encuestados abogan por varias estrategias. Un 62% opina que, para ello, sería necesarío que ocurriera una brecha de seguridad. Otro 62% señala que sería útil si pudieran informar mejor y explicar más fácilmente el riesgo empresarial. Además, otro 61% afirma que influiría que los clientes empezaran a exigir credenciales de seguridad más sofisticadas.
"Para que la ciberseguridad se convierta en una cuestión de la junta directiva, la dirección debe llegar a considerarla como un verdadero factor de negocio", apunta Marc Walsh, arquitecto de seguridad empresarial de Coillte. "Esto llevará a los responsables de TI y de seguridad a articular sus retos a la junta directiva en el lenguaje del riesgo empresarial. Y requerirá inversiones prioritarias y proactivas desde la sala de juntas, no solo soluciones de parcheo tras una brecha”.