Según un estudio de PwC, aunque ya es una norma en cualquier empresa que la ciberseguridad se tenga en cuenta en las decisiones comerciales, más de la mitad de los ejecutivos no están seguros de que los gastos en este área se destinen a los riesgos más importantes para la organización. Kaspersky ha realizado una investigación para ayudar a los departamentos de TI y jefes de equipo a encontrar puntos en común y ver dónde está la raíz de los malentendidos.
La encuesta refleja que los altos ejecutivos a veces tienen dificultades para comprender a sus homólogos del departamento de TI, y no siempre están preparados para reconocer su falta de conocimiento. Si nos centramos en España, el 18% de los directivos que no pertenecen al departamento de TI asegura que no se sentirían cómodos al reconocer que no entienden algo durante una reunión, tanto con el departamento de TI como con el departamento de ciberseguridad de TI. Así, la mayoría de ellos oculta su confusión y decide aclararlo todo después de la reunión, bien preguntando, bien haciéndolo por sí mismos. En concreto, el 33% no hace preguntas porque considera que sus compañeros de TI no pueden explicarlo de una forma clara. Además, la mitad no quiere que el resto del equipo se dé cuenta de que no lo entiende y un 44% prefiere consultar sus dudas con otra persona que no esté presente en la reunión.
A pesar de que todos los directivos encuestados hablan regularmente sobre problemas relacionados con la ciberseguridad con directores de seguridad de TI, alrededor de uno cada diez encuestados en España nunca ha oído hablar de amenazas como Botnet (15%), APT (6%) o vulnerabilidades Zero-Day (9%). Términos como Spyware, Malware, Troyanos y Phishing son más familiares para estos altos ejecutivos.
Para facilitar la comunicación entre las áreas de seguridad TI y negocio, Kaspersky recomienda:
● La seguridad TI debe posicionarse como un vehículo de crecimiento e innovación en la organización. Para conseguirlo, el equipo de seguridad TI debe huir de lo complicado y centrarse en cómo el negocio puede alcanzar sus objetivos mitigando los riesgos en ciberseguridad.
● El CISO debe participar activamente en las actividades operativas y tender lazos entre los departamentos de la empresa. Apenas un 20% de los CISO han establecido relaciones con ejecutivos clave en áreas como ventas, finanzas y marketing, por lo que les resulta difícil mantenerse al tanto de las necesidades del negocio.
● Al comunicarse con la dirección, hay que proponer argumentos basados en la visión de las amenazas por parte de expertos, en la vulnerabilidad frente a ciberataques y en cuáles son las mejores prácticas en este sentido.
● Hay que explicar a la alta dirección las principales responsabilidades del equipo de seguridad TI. Si es posible, hay que ofrecerles la oportunidad de ponerse en el lugar del CISO para obtener información sobre los desafíos más relevantes en ciberseguridad.
● Destinar la inversión en ciberseguridad a herramientas de eficacia y ROI probados. La reducción de los falsos positivos, el recorte de la duración en la detección de ataques, el tiempo dedicado a solucionar cada incidente y otras métricas son importantes para cualquier equipo de seguridad TI.