Los altos directivos están poniendo a las empresas en riesgo de ciberataques y filtraciones de datos porque no entienden los problemas de ciberseguridad y, en algunos casos, ni siquiera quieren aprender sobre los peligros.
Según una investigación realizada por la empresa de seguridad cibernética Trend Micro, solo la mitad de los tomadores de decisiones de TI creen que la junta comprende los riesgos cibernéticos. De los 5.321 líderes de TI encuestados, el 90 % dijo que los altos cargos no se centran en la ciberseguridad porque tienen otras prioridades, como la transformación digital o la mejora de la productividad. Como resultado, ven la ciberseguridad como una barrera para alcanzar sus objetivos preferidos.
Sin embargo, también hay una minoría significativa de miembros de la junta que no están tratando activamente de aprender sobre seguridad cibernética. Según la investigación, el 26 % no se esfuerza lo suficiente por aprender sobre los riesgos cibernéticos, mientras que el 20 % simplemente no quiere comprender los riesgos cibernéticos que enfrenta su organización.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Esta falta de comprensión está causando tensión entre los equipos de seguridad de la información y la sala de juntas, a tal punto que el 82 % de los tomadores de decisiones de TI dicen que se han sentido presionados para minimizar la gravedad de los riesgos cibernéticos para su junta.
Casi un tercio de estas personas dice que esto es una presión constante, lo que indica que muchas salas de juntas preferirían enterrar la cabeza en la arena en lugar de abordar los problemas de ciberseguridad.
Casi dos tercios (62 %) dijeron que la junta directiva solo se sentaría y tomaría nota de los riesgos cibernéticos si la organización sufriera un ataque o una filtración de datos, mientras que el 61 % dijo que se verían obligados a tomar nota si los clientes exigieran una mayor seguridad: lo que sugiere que el riesgo de perder negocios debido a la percepción de poca seguridad podría finalmente hacer que los ejecutivos tomen nota.
Pero incluso cuando las salas de juntas y los ejecutivos están preocupados por los ataques cibernéticos y se involucran con los líderes de seguridad cibernética sobre los problemas, detallar los riesgos y cómo administrarlos puede resultar complicado, especialmente si los ejecutivos comienzan con poca comprensión técnica de los problemas.
Por lo tanto, es vital que los equipos de seguridad de la información analicen las cosas para los ejecutivos, explicándoles regularmente los problemas y, lo que es más importante, de manera que los gerentes senior puedan entenderlos.
«Más ejecutivos que nunca entienden que tienen la responsabilidad de estar informados, pero a menudo se sienten abrumados por la rapidez con la que evoluciona el panorama de la ciberseguridad», dijo Eva Chen, directora ejecutiva de Trend Micro.
«Los líderes de TI deben comunicarse con su directorio de tal manera que puedan comprender dónde está el riesgo de la organización y cómo pueden administrarlo mejor», agregó.
Los pasos que se pueden tomar para ayudar en este proceso incluyen formalizar la seguridad cibernética con documentación y métricas, y alentar las discusiones sobre riesgos comerciales en torno a los problemas. También se recomienda que el CISO informe directamente al CEO para exponerlo directamente a los problemas de ciberseguridad y, por lo tanto, ayudar a impulsar las discusiones sobre ciberseguridad.