Opinión

Ciberseguridad: la importancia del CEO en la estrategia

Las organizaciones deberán tener estrategias efectivas que les permitan ser preventivas y no esperar el ataque para defenderse, señalan Fernando Román y Juan Carlos Carrillo.

Fernando Román y Juan Carlos Carrillo

mié 17 noviembre 2021 12:00 AM

Ciberseguridad: la importancia del CEO en la estrategia — Los desafíos no se detendrán. A la misma velocidad que avanza la tecnología avanzan los riesgos cibernéticos, consideran Fernando Román y Juan Carlos Carrillo. (iStockk)

(Expansión) - Los ciberataques son cada vez más sofisticados y pueden frenar la operación del negocio. Esta es la razón por la que los CEO –hoy más que nunca– deben estar involucrados en la estrategia de ciberseguridad de la empresa, siendo parte activa desde la fase de prevención.

En la práctica esto no es fácil; aún existen barreras que se deben eliminar en los equipos para crear estrategias más sólidas y disminuir el riesgo de sufrir un ataque. Una de estas barreras es la falta de comprensión entre el CISO (Chief Information Security Officer) –o la figura relacionada– y la dirección general de la compañía. Esta lejanía impide la comunicación efectiva para sensibilizar sobre el impacto, riesgos y tipos de ataques.

Frente a este panorama es fundamental que el CEO tenga mayor proximidad y compromiso con el CISO y con otros directivos, como el CFO (Chief Financial Officer) y el CIO (Chief Information Officer) –idealmente formar un comité–, con la finalidad de involucrarse en la estrategia de seguridad y tomar decisiones rápidas y mejor informadas.

Cuando el CISO reporta directamente al director general no solo existe una mejor comprensión de los riesgos, sino del mismo negocio desde otro enfoque. Asimismo, esta cercanía, al CISO, le permite conocer con mayor detalle la compañía y tomar mejores decisiones sobre lo que debe proteger y la manera de hacerlo.

Una medida que abona a tener mayor conocimiento sobre el estado de la ciberseguridad en la empresa es solicitar periódicamente métricas accionables que permitan conocer de manera clara el nivel de vulnerabilidad que tienen los diversos departamentos de la empresa. Recordemos que los atacantes incesantemente son buscadores de “puertas abiertas”.

Oportunidades para revisar

No considerar la ciberseguridad y la privacidad de los datos en cada una de las decisiones de negocio que se toman continúa siendo una de las principales oportunidades que tiene la dirección general. De igual modo, pensar que “nunca nos va a pasar” o minimizar los riesgos para justificar la reducción de inversiones en ciberseguridad puede abrir importantes brechas en la protección.

Lee más

Opinión

¿Un seguro de Riesgos Cibernéticos es la solución absoluta al problema?

Otro desatino que suelen tener las compañías es supeditar el presupuesto de ciberseguridad al de TI (Tecnologías de la Información). Y es que el presupuesto de TI debe estar orientado a que el negocio tenga mayores funcionalidades. El de ciberseguridad debe enfocarse en la disminución de riesgos desde una perspectiva del exterior –si para los atacantes nuestra compañía es prioridad, ¿por qué para nosotros no? –.

En la encuesta Digital Trust Insights 2022 se pregunta a los ejecutivos si aplicaban inteligencia en la información para protegerse contra riesgos de ciberseguridad. Los resultados indican que alrededor de un tercio de las organizaciones tiene prácticas avanzadas de confianza en los datos. Esto significa que la mayoría de las empresas está tomando decisiones poco sustentadas en datos.

Ahora, para que los CEO incrementen sus probabilidades de éxito en la aplicación de su estrategia de ciberseguridad recomendamos que sigan las 4P:

a) Principio. La ciberseguridad debe estar en la lista de prioridades. El nivel de inversión en este rubro debe ser directamente proporcional al nivel de prioridad que representa para la empresa. Esto es, si la ciberseguridad se encuentra en un tercer nivel de riesgo, debe estar en un tercer nivel de inversión. Abrir una brecha entre estos factores genera riesgos importantes.

b) Público. Contratar a las personas adecuadas es primordial, pero consideremos las necesidades de presupuesto que garantizarán un buen desempeño del área.

Lee más

Opinión

Fraude cibernético en México. ¿Es necesario un buró de reputación digital?

c) Priorización. Detectar las operaciones o áreas primordiales de la empresa permite proteger “las joyas de la corona”; todo aquello que es crucial para el funcionamiento del negocio. Esta priorización permite, incluso, generar inversiones más efectivas.

d) Percepción. La cercanía entre el CISO y el director general –cuando se solicitan, por ejemplo, métricas accionables– permite conocer periódicamente la evolución del estado de la ciberseguridad en la empresa y ubicar puntos ciegos que podrían representar un riesgo.

Los desafíos no se detendrán. A la misma velocidad que avanza la tecnología avanzan los riesgos cibernéticos. Sin embargo, las empresas deben adecuarse y estar preparadas para nuevos retos derivados, por ejemplo, del uso de nubes híbridas y modelos de trabajo híbridos con dispositivos y redes diversas.

Las organizaciones deberán tener estrategias efectivas que les permitan ser preventivas y no esperar el ataque para defenderse.

Nota del editor: Fernando Román es Socio de Cybersecurity & Privacy Services y Juan Carlos Carrillo es Director de Cybersecurity, Privacy & Forensic Services, ambos en PwC México. Las opiniones publicadas en esta columna pertenecen exclusivamente a los autores.

Consulta más información sobre este y otros temas en el canal Opinión