La fricción que se genera en las organizaciones entre los responsables de TI y de negocio y la junta directiva con motivo de la ciberseguridad plantea la necesidad de establecer una nueva forma de hablar de los riesgos a los que se enfrentan, cuando la mayoría de los responsables de TI cree que las organizaciones comprometen la ciberseguridad en favor de otros objetivos.
El 82 por ciento de los responsables de la toma de decisiones de TI se ha sentido presionado para minimizar la gravedad de los riesgos cibernéticos ante su junta directiva, como se desprende del último estudio compartido por la empresa de ciberseguridad Trend Micro.
Este estudio, realizado por Sapio Research y en el que han participado 5.321 responsables de la toma de decisiones de negocio y de TI de empresas de más de 250 empleados en 26 países, señala que para el 90 por ciento de los encuestados de TI su empresa estaría dispuesta a comprometer la ciberseguridad en favor de la transformación digital, la productividad u otros objetivos.
Detrás de la autocensura por parte de los respobsales de TI se encuentran el miedo a “parecer repetitivos o demasiado negativos”, como ha apuntado el director técnico de Trend Micro Iberia, José de la Cruz. La presión, además, es constante, según ha afirmado casi un tercio de los encuestados.
Esta situación plantea la necesidad de una nueva forma de hablar del riesgo empresarial, como han destacado desde la compañía de ciberseguridad. “Tenemos que hablar del riesgo de una manera que enmarque la ciberseguridad como un motor fundamental del crecimiento empresarial, ayudando a unir a los líderes de TI y de negocios que, en realidad, están luchando ambos por la misma causa”, defiende de la Cruz.
La investigación revela que solo el 50 por ciento de los directivos de TI y el 38 por ciento de los responsables de la toma de decisiones empresariales creen que la alta dirección entiende completamente los riesgos cibernéticos. Aunque algunos piensan que esto se debe a que el tema es complejo y está en constante cambio, muchos creen que la alta dirección no se esfuerza lo suficiente (26%) o no quiere entenderlo (20%).
También existe un desacuerdo entre los directivos de TI y de negocio sobre quién es el responsable último de gestionar y mitigar el riesgo. Los directivos de TI tienen casi el doble de probabilidades que los responsables de negocio de señalar a los equipos de TI y al CISO. El 49 por ciento de los encuestados afirma que los riesgos cibernéticos se siguen tratando como un problema de TI y no como un riesgo empresarial.
Desde Trend Micro indican que esta fricción está causando problemas potencialmente graves: el 52 por ciento de los encuestados está de acuerdo en que la actitud de su organización ante el ciberriesgo es incoherente y varía de un mes a otro. Sin embargo, el 31 por ciento de los encuestados cree que la ciberseguridad es el mayor riesgo empresarial en la actualidad, y el 66 por ciento afirma que tiene el mayor impacto en términos de costes de todos los riesgos empresariales.
Los ejecutivos de nivel C se sentarían y tomarían nota del riesgo cibernético en el caso de que se produjera una brecha de seguridad en su organización, como cree el 62 por ciento de los participantes en la cuesta. Otro 62 por ciento cree que sería útil si pudieran informar mejor y explicar más fácilmente el riesgo empresarial de las ciberamenazas, mientras que para un 61 por ciento influiría que los clientes empezaran a exigir credenciales de seguridad más sofisticadas.