La vulnerabilidad de las organizaciones ante la creciente intensidad y sofisticación de las amenazas ha quedado más que patente en muchos de los últimos ciberataques que, además, han tenido una gran repercusión. Los consejos de administración de la mayoría de las organizaciones están tomando nota de ello y dejando atrás la concepción que tenían hasta hace muy poco de que la seguridad era solo un problema de del CISO o del CIO.

Por fin, estas conversaciones han llegado hasta la junta directiva. Según un informe en el que ha participado el MIT, la ciberseguridad ocupa ya un lugar destacado en las agendas de los consejos de administración. Se ha entrevistado a 600 profesionales de juntas directivas de empresas de todo el mundo: el 77 % de ellos afirmó que la seguridad es una de las prioridades de su departamento y el 76 % trata estos temas, como mínimo, una vez al mes.

Este mayor interés ha aumentado la confianza de los consejos de administración a la hora de valorar los resultados en ciberseguridad: tres cuartas partes creen que sus consejos comprenden claramente el riesgo sistémico que suponen las actuales amenazas y un 76 % considera que ha realizado inversiones adecuadas a tal efecto.

El éxito a la hora de hacer frente a las amenazas depende de que el CISO y la junta directiva trabajen en armonía

Sin embargo, a pesar del rápido aumento del número de brechas de ciberseguridad, esa mayor conciencia no se está convirtiendo en una preparación y resistencia reforzadas. Alrededor de dos tercios de los miembros de consejos de administración aseguran que su organización corre el riesgo de sufrir un ciberataque importante en los próximos doce meses, pero casi la mitad de esos directivos consideran no estar preparados para enfrentarse a una amenaza dirigida.

Desconexión

Al comparar estos resultados cosechados entre las juntas directivas de empresas con los expresados por los CISO en una encuesta de similares características, salen a la luz algunas de las razones por las que la concienciación en ciberseguridad no siempre se traduce en acción: se aprecia una desconexión entre ambas partes, y no solo a la hora de evaluar riesgos y amenazas, sino también en su relación.

Tal como se indicaba líneas atrás, el 65 % de los miembros de consejos de administración creen que su organización está en riesgo de sufrir un ataque importante, pero solo el 48 % de los CISO piensa lo mismo.

¿Qué sabe el CISO que desconocen los miembros de la junta directiva? ¿Están los CISO demasiado enfrascados en su jerga técnica y su discurso no está llegando a otros niveles de dirección de su empresa? ¿Esa desconexión se debe a una relación tensa entre ambas partes? Según los mismos estudios, de hecho, el 69 % de los consejeros afirma no estar de acuerdo con sus CISO, pero solo el 51 % de estos últimos comparte la misma percepción.

Si ni siquiera están de acuerdo en qué opinan unos de otros, ¿cómo pueden concordar en asuntos de seguridad esenciales? Es difícil que los CISO consigan el apoyo de los directivos para establecer una estrategia defensiva si las prioridades de ambos grupos no están alineadas.

Teniendo en cuenta el enorme impacto de la pandemia, el trabajo de los CISO nunca había sido tan difícil y decisivo como en los últimos años. Los responsables de seguridad han visto cómo las expectativas de sus superiores y compañeros de trabajo en torno a sus funciones se volvían excesivas. Además, las exigencias por lo vivido les han alentado también a alzar aún más la voz acerca de la necesaria atención que requieren las cuestiones de ciberseguridad.

Esa presión que pueden sentir los CISO, cuya tarea no es de las más gratificantes dentro de la empresa, unida a la falta de apoyo y acuerdo por parte de la dirección, puede afectar no solo a la implicación final sino también a la disponibilidad de presupuestos para protegerse frente a amenazas.

Como resultado de todos esos factores, la capacidad de los CISO para desempeñar su labor con eficacia se ve mermada. Solo la mitad de ellos creen que su organización rema a favor para que puedan desempeñar sus funciones y alcanzar sus objetivos, que no son otros que mejorar la protección de la información, concienciar a los empleados y consolidar y externalizar controles y soluciones de seguridad.

Es difícil que los CISO consigan el apoyo de los directivos para establecer una estrategia defensiva si las prioridades de ambos grupos no están alineadas

Cuando se percibe una desconexión entre directivos y CISO, hay que poner remedio. Los ciberdelincuentes se están aprovechando de la mayor dependencia de los usuarios en la economía digital, por lo que es más importante que nunca que los consejos de administración y los CISO se encuentren en el mismo punto. Sin una relación sólida entre ellos, proteger a las personas y defender los datos será cada vez más difícil. El éxito de la organización a la hora de hacer frente a las amenazas depende de que ambos trabajen en armonía.

Cultura de resistencia

Teniendo en cuenta las discrepancias entre estas áreas de responsabilidad, no sorprende que solo dos tercios de los miembros de los consejos de administración consideren el error humano como su mayor vulnerabilidad, pese a que el Foro Económico Mundial asegure que es la causa del 95 % de los ciberataques.

Si entienden los riesgos y saben mitigarlos, las personas constituyen la defensa más sólida para las organizaciones; por el contrario, si los ignoran, se convierten en su flanco más vulnerable. Eso implicaría a todos los que están dentro de la empresa, incluidos los miembros de la junta directiva. Es muy importante que comprendan cuáles son las amenazas y sepan cómo precaverse contra ellas.

En este sentido, el consejo de administración es especialmente útil para promover una cultura de seguridad y resistencia dentro de la organización. Sus miembros pueden ayudar a los demás empleados para que adopten comportamientos que minimicen los riesgos; al mismo tiempo, en su mano está conseguir que la seguridad sea prioritaria en todos los niveles de la empresa.

Resulta alentador ver que las organizaciones empiezan a tomarse en serio la ciberseguridad. No obstante, para garantizar que este entusiasmo se traduzca en acción, es necesario que los miembros de consejos de administración y los CISO se unan como socios estratégicos en esta apasionante y urgente tarea.