Los líderes empresariales y de TI rara vez se han puesto de acuerdo sobre la ciberseguridad, pero hoy la fricción parece más profunda que nunca.
Una nueva investigación de Trend Micro encontró que más del 90% de los responsables de la toma de decisiones de TI creen que su organización estaría dispuesta a comprometerse con la ciberseguridad en favor de otras prioridades como la transformación digital, la productividad o la experiencia del cliente.
Para tener éxito en la era posterior a la pandemia, las organizaciones deben conciliar este enfrentamiento empresarial-TI y llegar a un entendimiento compartido sobre la cibernética como un elemento crítico del riesgo empresarial. Esto permitirá a las organizaciones maximizar su potencial comercial al incorporar esta tecnología en todo lo que hacen desde el primer día.
Problema de la Ciberseguridad: Fricción por todas partes
El nuevo informe de Trend Micro también reveló que solo el 50% de los líderes de TI y el 38% de los responsables de la toma de decisiones empresariales piensan que la junta directiva comprende completamente los riesgos cibernéticos o ciberseguridad.
Algunos creen que esto se debe a que el campo es demasiado complejo y cambia rápidamente. Pero otros argumentan que los ejecutivos de sus compañías no se esfuerzan lo suficiente o no quieren entender.
Además, más del 80% de los jefes de TI encuestados se sintieron presionados a restar importancia a la gravedad de las amenazas cibernéticas para su junta directiva por temor a sonar demasiado negativos o repetitivos. Este es un hábito peligroso. Si los líderes de ese sector se autocensuran, las salas de juntas nunca comprenderán claramente el panorama del riesgo cibernético o su importancia.
Pero no son solo aquellos desacuerdos los que deberían preocuparnos. La fricción entre TI y los responsables de la toma de decisiones empresariales afecta a todas las organizaciones. Por ejemplo, los líderes de TI tienen casi el doble de probabilidades que sus contrapartes piensen que la responsabilidad final de administrar y mitigar el riesgo debe recaer en sus colegas o en el CISO.
Un año récord de amenazas
Este conflicto ya está teniendo un impacto real en las compañías. Más de la mitad de los entrevistados informó que su actitud hacia el riesgo cibernético varía de un mes a otro. Este tipo de inconsistencia es exactamente lo contrario de lo que se necesita, lo cual implica, una estrategia estable y bien planificada basada en las mejores prácticas y una visión clara del entorno de amenazas.
Tal fue el impacto que Trend Micro llegó a bloquear más de 41 mil millones de amenazas solo en la primera mitad de 2021, posicionándose como un año con un récord histórico en temas de ciber amenazas. Se augura que muchos ataques más sofisticados no podrán ser controlados por las organizaciones debido a que los actores de amenazas suelen utilizar credenciales de empleados obtenidos a través de phishing o de fuerza bruta para superar las defensas del perímetro. Una vez dentro de las redes, utilizarán herramientas legítimas para moverse lateralmente mientras permanecen ocultos. En promedio se estima que el costo total de una infracción es de más de $4.2 millones de dólares en la actualidad, pero los compromisos de ransomware, por ejemplo, han llegado a costar decenas de millones en ventas perdidas, interrupciones de productividad, horas extra de TI y más.
Empieza por la visibilidad
La mitad de las organizaciones globales tratan los riesgos cibernéticos como un problema de TI más que como uno empresarial. Esto debe cambiar. Para ello el primer paso es que los líderes de ciberseguridad tengan una visión clara de lo que está sucediendo en el perímetro. En la actualidad, los equipos de TI suelen estar abrumados con alertas de amenazas y ahogados en actualizaciones de vulnerabilidades. Sin embargo, herramientas cómo XDR pueden ayudar a disminuir las cargas de trabajo de estos equipos al correlacionar datos de todos los puntos finales, servidores, sistemas en la nube y más, proporcionando una visibilidad completa de las amenazas y simplificando el abrumador volumen de datos.
Los responsables de la toma de decisiones de ciberseguridad y TI deben hacer jornadas de socialización de riesgo empresarial así como también deben ejecutar programas de seguridad formalizando una estrategia documentada resaltada por KPI y métricas establecidas, para así lograr mejorar la comprensión del riesgo por parte de la junta. La creación de un rol para los oficiales de seguridad de la información empresarial (BISO) también contribuirá con la alineación de la seguridad empresarial.
Finalmente el objetivo será ayudar a la junta directiva a comprender que solo una cultura de seguridad establecida puede permitir que una organización acelere y expanda proyectos de innovación digital con confianza. Aquellos que lleguen primero tendrán una ventaja innegable sobre sus competidores.