Los líderes empresariales reconocen las lagunas de conocimiento y la falta de recursos en medio de la creciente amenaza de un ciberataque.

Hoy, Nominet publica su informe Problema en la cima: la batalla de la sala de juntas por la supremacía cibernética, que revela las actitudes de los directorios empresariales hacia los ataques cibernéticos. Destaca una serie de lagunas de conocimiento, la falta de recursos y los desacuerdos y discrepancias sobre quién está realmente a cargo de responder a una infracción.

La investigación encuestó a más de 400 ejecutivos de alto nivel de empresas de todo el Reino Unido y EE. UU., Cada uno de los cuales supervisaba empresas con más de 8.000 empleados.

Frente a lo inevitable

La amenaza para la seguridad cibernética de las empresas se encuentra en un nivel crítico, ya que más de las tres cuartas partes (76%) de los ejecutivos de nivel C dicen que una violación de la seguridad cibernética es inevitable.

A pesar de esta aceptación, la mayoría (90%) de los encuestados cree que a su empresa le falta al menos un recurso que los ayudaría a defenderse de un ciberataque severo, y el componente faltante más común es la tecnología avanzada (59%).

Sin embargo, el problema es más profundo. Hay más factores humanos en juego, con la alta dirección reacia a aceptar consejos (46%); falta de presupuesto (44%) y falta de recursos humanos (41%). Las tres cosas se consideran componentes principales de una estrategia de seguridad cibernética segura y eficaz.

¿Quién gobierna el gallinero?

También existe confusión a nivel de la junta en cuanto a quién es el responsable en última instancia de la respuesta inmediata a una violación de datos. Más de un tercio (35%) de los encuestados cree que el CEO está a cargo de la respuesta de la empresa a una violación de datos, y un poco menos de un tercio (32%) dice que todo depende del CISO.

A pesar de esto, la mayoría (71%) de los ejecutivos reconocen que tienen lagunas en su conocimiento cuando se trata de algunas de las principales amenazas cibernéticas que enfrentan las empresas en la actualidad; el más común de los cuales es el malware (78%). Esto es alarmante, dado que el 70% de las empresas admiten haber encontrado malware oculto en sus redes durante un período de tiempo desconocido, en algunos casos, durante más de un año.

Cuando se produce una infracción de seguridad, en la mayoría de las empresas encuestadas, primero se informa al equipo de seguridad (70%) o al equipo ejecutivo / de alta dirección (61%). En menos de la mitad de los casos se informa a la junta (40%).

Esto podría deberse a una verdad incómoda: un tercio de los directores ejecutivos afirman que rescindirían el contrato de los responsables de una violación de datos.

Falta de colaboración

Una vez que se ha producido una infracción, existen discrepancias con respecto a la colaboración en la parte superior cuando se trata de resolver el problema. Cuando se les realizó una encuesta, más de la mitad (54%) de los CISO dijeron que recibirían asistencia de otros miembros del C-suite. Por el contrario, casi dos quintas partes (38%) de esos miembros de la junta dicen que trabajarían con el equipo de seguridad para resolver un problema de seguridad cibernética.

Esta confusión puede ser un factor en la forma en que los CISO se sienten acerca de su lugar en el lugar de trabajo. Solo la mitad de los CISO dicen que se sienten valorados por el resto del equipo ejecutivo desde el punto de vista de los ingresos y la protección de la marca. Quizás más preocupante es el hecho de que casi una quinta parte (18%) de los CISO dicen que creen que la junta es indiferente al equipo de seguridad o que en realidad los ve como un inconveniente.

En realidad, el apoyo a los CISO es mayor de lo que creen. Los CISO perciben que solo el 52% de su junta directiva los ve como ‘imprescindibles’, pero la realidad es que tres cuartas partes (76%) de los ejecutivos de nivel C se sienten así.

Y si bien este puede ser el caso, la sensación de no ser valorado está teniendo un efecto perjudicial en el CISO. Más de una cuarta parte (27%) dijo que el estrés de su trabajo está afectando su salud física o mental. Igual de preocupante, casi una cuarta parte (23%) admitió que el trabajo también había afectado sus relaciones personales. Como una preocupación más profesional, el 28% de los CISO también admiten que los niveles de estrés están teniendo un efecto adverso en su capacidad para hacer su trabajo.

Russell Haworth, CEO de Nominet, dijo: “Esta investigación es en gran medida un caso de lo bueno, lo malo y lo feo. Es bueno ver que los líderes empresariales están alineados con el hecho de que los ciberataques son prácticamente una parte inevitable de la vida laboral. La aceptación es el primer paso para la protección. También hay una dedicación a mantener seguros los datos de clientes y clientes.

“Pero lo malo viene con la lucha por el poder en la cima, con la confusión sobre quién debería asumir la responsabilidad en caso de una violación de datos o un ataque cibernético, que es perjudicial para la seguridad de la empresa. Y lo feo es cómo se sienten los CISO dentro de su organización. Existe una clara desconexión entre lo valorados que se sienten y lo valorados que son en realidad. Ya sea que los CISO no entiendan lo importantes que son o que la junta no les comunique esto, no tengo claro. Sin embargo, lo que es muy obvio es que todavía queda mucho trabajo por hacer. Las juntas y los CISO deben sentarse y acordar exactamente cuál es la responsabilidad del CISO, y exactamente quién está a cargo de la respuesta de la empresa a la amenaza cibernética generalizada «.

Puede encontrar una copia del informe completo, que incluye los hallazgos de la encuesta con más detalle, en www.nominet.uk/news.