El nuevo marco tecnológico ha revolucionado la relación entre la ciberseguridad y la capa directiva de las empresas, y lo ha hecho en ambas direcciones. Por un lado, los directivos —que antes ni la apreciaban ni la entendían— demandan más visibilidad en las medidas y el estado de seguridad de las entidades. Son los que presionan para buscar soluciones que habiliten el cambio digital. Según un estudio de BDO Board Survey, el 90% de los consejos de administración reciben periódicamente información sobre el estado de ciberseguridad de su entidad.
Por otro, el responsable de seguridad, o CISO, tiene un perfil cada vez más ejecutivo y debe evolucionar a un rol “habilitador” en el que, frente a un riesgo tecnológico, debe encontrar una manera constructiva de habilitar la transformación, sin renunciar a encontrar vías de mitigación de los riesgos que entraña.
Las violaciones de la privacidad de los datos son costosas y afectan de forma importante a la reputación
Esta relación entre ciberseguridad y negocio es muy estrecha. Ya existen algunos países (en particular México), donde la Comisión del Mercado de Valores ha determinado que, para determinadas entidades financieras, el CISO debe tener una dependencia directa del consejero delegado y no subordinarse de figuras intermedias o departamentos de tecnología que puedan comprometer la visión independiente de los riesgos.
Existen muchos motivos por los que la seguridad es relevante para la alta dirección. Probablemente, el primero es que tiene un gran impacto en la cuenta de resultados. Sin ir más lejos, en el Barómetro 2018 de Allianz Risk se preguntó sobre la principal causa de las pérdidas económicas tras un ciberincidente: un 67% vincula dicha pérdida a la interrupción del negocio; a continuación figuran factores tan sensibles como los reputacionales o las reclamaciones de responsabilidad.
Otra de las razones es que el coste medio de las brechas no deja de aumentar. Además, según un informe del Ponemon Institute, los clientes huyen de las compañías con problemas de ciberseguridad. Por si estos motivos no fueran suficientes, existen otros daños colaterales como los que se refieren a la reputación, que también puede verse seriamente afectada.
La ciberseguridad es una amenaza creciente para la reputación de las empresas, superando al impacto medioambiental.
Un estudio publicado por el Reputation Institute, donde se analizaron más de 7000 empresas de 25 industrias diferentes, desveló que los aspectos relacionados con la ciberseguridad son una amenaza creciente para la reputación de las empresas, superando al impacto medioambiental. En este estudio se destaca que “la violación de la privacidad de los datos tiene graves consecuencias en la reputación y son costosas, por lo que las empresas deben hacer todo lo necesario para protegerse y actuar con rapidez y transparencia en caso de verse afectadas”.
Todas estas argumentaciones señalan en una misma dirección: la ciberseguridad es cada vez más importante y eso se refleja en el interés creciente de los equipos directivos. Por otro lado, si atendemos a los resultados que se obtienen de esa involucración, están directamente relacionados con un menor coste por brecha.
Por último, para gobernar la ciberseguridad es necesaria una visión global, que contemple no solo la identificación de los activos y riesgos, sino también cómo detectar amenazas y responder frente a ellas. Solo con esta visión holística, soportada en los mejores estándares y en el apoyo de la dirección, el CISO y el equipo de TI implicado podrán garantizar la correcta implementación de la mejor estrategia posible, con una cobertura del ciclo completo de la ciberseguridad.
