La importancia de integrar la ciberseguridad en los procesos de negocio
Trend Micro Incorporated, empresa mundial especializada en seguridad en la nube, compartió los resultados de un estudio realizado por Enterprise Strategy Group (ESG) que revela desafíos sistémicos con la integración de la seguridad en los procesos comerciales. El informe incluye las principales formas de impulsar el compromiso y el acuerdo en torno a las estrategias de ciberseguridad dentro de una organización.
El estudio encontró que solo el 23% de las organizaciones priorizan la alineación de la seguridad con las iniciativas comerciales clave. Aquí hay tres recomendaciones de suma importancia para remediar este desafío principal:
1.Agregar un (BISO) oficial de seguridad de la información empresarial, para mejorar la alineación de la seguridad.
2.Crear un programa medible de arriba hacia abajo para ayudar a los CISO a comunicarse mejor con sus juntas.
3.Cambiar las estructuras de informes para que los CISO informen directamente a su CEO.
El estudio también encontró que cuando los miembros de la junta están más educados y comprometidos con la función de ciberseguridad, hacen preguntas más difíciles, profundizan en los problemas y es más probable que den el salto de los problemas técnicos a los comerciales.
La gran mayoría (82%) de los encuestados afirmó que el riesgo cibernético ha aumentado en los últimos dos años, principalmente, gracias a un aumento de las amenazas en una superficie de ataque corporativa en expansión y el hecho de que los procesos comerciales dependen más que nunca de la tecnología.
Sin embargo, a pesar de la rápida adopción de los procesos de transformación digital en el último año, la seguridad todavía se considera principalmente (41%) o completamente (21%) un área de tecnología.
La falta de priorización de la ciberseguridad es particularmente cierta. Aunque el 85% de los encuestados afirmó que la junta directiva está más comprometida con las decisiones y la estrategia de seguridad que hace dos años, a menudo esos ejecutivos se ven atraídos pasivamente debido a una infracción importante, nuevos requisitos de cumplimiento o la creación de un programa de seguridad por parte de un CISO.
De hecho, el 44% de los encuestados indicó que su junta directiva tiene una participación limitada en muchas operaciones críticas de ciberseguridad. Esta falta de participación significa que muchas juntas directivas sólo están preparadas para financiar lo mínimo necesario para cumplir con los requisitos de cumplimiento y protección.
Ed Cabrera, director de Ciberseguridad de Trend Micro, destaca: ‘La lucha por una seguridad suficientemente buena, francamente, no es lo suficientemente buena dado el panorama actual del riesgo cibernético. Este informe refleja muchas de mis conversaciones con los CISO, destacando que la falta de participación en la sala de juntas puede conducir a una higiene cibernética deficiente y una seguridad que no se integra adecuadamente en los procesos comerciales’.
Concluye: ‘Solo podemos crear una cultura de ciberseguridad si los directores ejecutivos y directores corporativos predican con el ejemplo. Esto anima a todos los empleados a creer que tienen un papel en la protección de la organización’.
Lea una copia completa del informe, Cybersecurity in the C-suite and Boardroom en: https://resources.trendmicro.com/rs/945-CXD-062/images/ESG-eBook-TrendMicro-Cyber-C-Suite-Boardroom-Dec2020.pdf