Las juntas directivas aún no comprenden las amenazas cibernéticas, dicen los responsables de la toma de decisiones de TI
La alta dirección está poniendo en riesgo sus empresas al no tomarse en serio la ciberseguridad
Los tomadores de decisiones clave no confían en la capacidad de sus juntas directivas para gestionar las amenazas de seguridad cibernética, según el último análisis de seguridad cibernética de Control Risks. El informe global ‘Cyber Security Landscape’ de los responsables de la toma de decisiones empresariales y de TI encontró que casi la mitad de los encuestados (46%) informaron que creen que los ejecutivos a nivel de directorio de su organización no se toman la ciberseguridad tan en serio como deberían. Esto es así a pesar de que el 77% de los encuestados citaron al C-suite, en lugar del propietario histórico, el departamento de TI, como el más responsable de la gestión de la seguridad cibernética y la toma de decisiones en su organización.
La encuesta también encontró que poco más del 31% también informó que está muy o extremadamente preocupado de que su organización sufra un ciberataque en el próximo año y un tercio (34%) dice que su organización no tiene un plan de gestión de crisis cibernética implementado. en caso de incumplimiento. Esta falta de preparación es especialmente llamativa a la luz de los 12th May WannaCry Ransom Attack, que afectó a 150 países en menos de 12 horas.
Resultados clave:
- Las empresas luchan por adoptar un enfoque basado en el riesgo: Aunque las empresas ahora están menos preocupadas por simplemente cumplir con los estándares y están enfocadas en reducir realmente el riesgo de un ataque cibernético, casi la mitad (45%) estuvo de acuerdo en que evaluar y administrar estos riesgos es su mayor desafío.
- Las infracciones de terceros son una preocupación creciente: Un poco más de un tercio (35%) de los encuestados dijo que una infracción cibernética de un tercero había afectado a su organización y, a pesar de que nueve de cada diez encuestados (93%) tomaron medidas para evaluar las medidas de seguridad cibernética de sus terceros, el 53% dijo que esto se limitaba a las condiciones contractuales. medidas.
- Los ciberataques tienen importantes efectos a largo plazo: 4 de cada 10 encuestados dijeron que un ciberataque ha resultado en el uso indebido de información sensible o confidencial (43%) y una pérdida de información del cliente (41%).
Toby Chinn, socio y jefe de seguridad cibernética de Control Risks comentó:
“La desalineación entre tratar la seguridad cibernética como un problema tecnológico o un riesgo empresarial no es nueva. Sin embargo, la encuesta muestra que esta desalineación sigue siendo una preocupación considerable y constante para muchas organizaciones «.
Él continúa:
“Nuestro consejo es comenzar siempre con la amenaza. La forma en que se evalúan y comunican las amenazas cibernéticas en toda la empresa es clave. Esta evaluación debe incluir las amenazas cibernéticas específicas para la organización, cómo podrían afectar al negocio y qué controles podrían mitigarlas. Después de evaluar los riesgos y comprenderlos, la organización puede abordarlos dentro de su estrategia general de gestión de riesgos «.
Las organizaciones deben asegurarse de que la seguridad cibernética se convierta en un elemento regular en la agenda de la junta que incluya la revisión del panorama externo de amenazas cibernéticas junto con TI. Las organizaciones también se benefician de los ejercicios regulares de gestión de crisis que involucran a todas las partes relevantes, incluidos el C-suite, TI, legal, comunicaciones y cualquier otro miembro del equipo de gestión de crisis. Estos ejercicios garantizan que todas las partes comprendan sus roles y responsabilidades y las posibles implicaciones de un ciberataque.