Frente a este panorama es fundamental que el CEO tenga mayor proximidad y compromiso con el CISO y con otros directivos, como el CFO (Chief Financial Officer) y el CIO (Chief Information Officer) –idealmente formar un comité–, con la finalidad de involucrarse en la estrategia de seguridad y tomar decisiones rápidas y mejor informadas.
Cuando el CISO reporta directamente al director general no solo existe una mejor comprensión de los riesgos, sino del mismo negocio desde otro enfoque. Asimismo, esta cercanía, al CISO, le permite conocer con mayor detalle la compañía y tomar mejores decisiones sobre lo que debe proteger y la manera de hacerlo.
Una medida que abona a tener mayor conocimiento sobre el estado de la ciberseguridad en la empresa es solicitar periódicamente métricas accionables que permitan conocer de manera clara el nivel de vulnerabilidad que tienen los diversos departamentos de la empresa. Recordemos que los atacantes incesantemente son buscadores de “puertas abiertas”.
Oportunidades para revisar
No considerar la ciberseguridad y la privacidad de los datos en cada una de las decisiones de negocio que se toman continúa siendo una de las principales oportunidades que tiene la dirección general. De igual modo, pensar que “nunca nos va a pasar” o minimizar los riesgos para justificar la reducción de inversiones en ciberseguridad puede abrir importantes brechas en la protección.
Otro desatino que suelen tener las compañías es supeditar el presupuesto de ciberseguridad al de TI (Tecnologías de la Información). Y es que el presupuesto de TI debe estar orientado a que el negocio tenga mayores funcionalidades. El de ciberseguridad debe enfocarse en la disminución de riesgos desde una perspectiva del exterior –si para los atacantes nuestra compañía es prioridad, ¿por qué para nosotros no? –.
En la encuesta Digital Trust Insights 2022 se pregunta a los ejecutivos si aplicaban inteligencia en la información para protegerse contra riesgos de ciberseguridad. Los resultados indican que alrededor de un tercio de las organizaciones tiene prácticas avanzadas de confianza en los datos. Esto significa que la mayoría de las empresas está tomando decisiones poco sustentadas en datos.