La ciberseguridad es una cuestión de negocio

La ciberseguridad no solo es un tema técnico o tecnológico, es una cuestión que debe tener presente la dirección de las organizaciones porque tiene efecto en sus cuentas de resultados. 

Actualmente, resalta la necesidad de concienciación de las personas en el ámbito de la ciberseguridad, dado que los trabajadores son el “eslabón” más débil de la cadena en la protección de los activos de información de una empresa. 

En España, dada la configuración empresarial existente (donde la mayoría son micropymes y donde las empresas con ingresos superiores a millones se cuentan por centenas), y aunque se ha incrementado notablemente el número de ciberataques -en 2021 el crecimiento fue un 26% en España-, así como su repercusión mediática, donde se percibe un área de mejora en la concienciación sobre ciberseguridad en la alta dirección de las empresas, excluyendo las empresas cotizadas (donde existen comités de auditorías, riesgos, etc.). ¿Por qué? Se puede deber a dos causas: 

• Con la velocidad del cambio tecnológico, puede que no tengan suficiente criterio al respecto y asocien la ciberseguridad a aspectos tecnológicos o técnicos, delegándolo a otro nivel.   

Para rebatir este primer asunto, se puede poner un ejemplo en otra área de la empresa, la financiera. Corresponde a la alta dirección de la empresa decidir sobre su nivel de endeudamiento y a la dirección financiera con qué instrumentos implementarlo. De la misma forma, corresponde a la alta dirección de la empresa decidir la estrategia de riesgos a asumir, buscando equilibrio entre necesidades de protección y los resultados del negocio. Y a la persona responsable de ciberseguridad (CISO en el argot), implementar las medidas pertinentes para ello, esto es, la gestión operativa de la ciberseguridad. 

• Pensar que a sus empresas nunca las van a atacar. 

Sobre este asunto, como dice un experto en ciberseguridad: “Existen dos tipos de empresa: las que ya han sufrido un ciberataque (pueden saberlo o no) y las que lo van a sufrir. Nadie está a salvo, no existe la protección total”. 

Existen diversos tipos de riesgos asociados a la información: estratégico, regulatorio, operacional, reputacional y financiero. Una pregunta sobre ciberseguridad para la alta dirección de una empresa es: ¿conoce los riesgos asumidos y su posible impacto?. Dicho de otra forma, el CISO debe ayudar a la organización en la gestión de los riesgos de la información a un nivel apropiado que equilibra el riesgo con las oportunidades de negocio, no para reducir el riesgo tanto como sea factible, dado que el riesgo de información es un desafío del negocio, no un problema del área tecnológica. 

Pero aún en muchas organizaciones la ciberseguridad sigue siendo percibida más como un problema que como otro componente importante e incluso diferencial en el negocio. Se ve como un gasto más que como una inversión, y los CISOs, como “obstaculizadores”. 

Las preguntas que debería hacer la alta dirección sobre la ciberseguridad: 

1. ¿Se dispone de la información necesaria para gestionar los riesgos asociados a la información? 
2. ¿Cómo es la estrategia de ciberseguridad para abordar los riesgos a los que se enfrenta el negocio? 
3. ¿Cómo está protegida la información confidencial que manejan, almacenan y transmiten los proveedores externos? 
4. ¿Se tiene un ciberseguro? 
5. ¿Se posee la estrategia de gobierno de datos correcta para minimizar nuestra exposición? 
6. ¿Cómo se mantiene actualizado sobre el panorama de amenazas en la industria y el mercado? 
7. ¿Se dispone de un plan de respuesta a incidentes testeado? 

En Babel a través de nuestra divisón Ingenia, velamos por la ciberseguridad de todos nuestros clientes, ofreciéndoles un completo abanico de servicios, productos y soluciones para garantizar la seguridad de sus proyectos.