HPE entre los líderes de almacenamiento de Gartner
Ante un aumento de la delincuencia cibernética, los directivos de estas empresas no están tomando las decisiones adecuadas sobre la seguridad empresarial.
Carnegie Mellon CyLab acaba de lanzar conclusiones preliminares sobre un estudio concluido recientemente, que examinó la forma en que juntas directivas y altos ejecutivos dirigen la privacidad de los activos digitales en sus organizaciones empresariales. La encuesta realizada en el 2012, fue patrocinada por el gigante de la seguridad RSA. Fue enviada a directores ejecutivos, presidentes de juntas directivas y secretarios corporativos de empresas seleccionadas a partir de la lista Forbes Global 2000. En un momento donde la amenaza de la ciberdelincuencia ha aumentado dramáticamente, la encuesta encontró que menos de un tercio de los consejos directivos están manejando responsablemente las gestiones más básicas de la seguridad empresarial. Esas gestiones incluyen las siguientes buenas prácticas que fueron aplicadas de vez en cuando, raramente o casi nunca por la mayoría de los encuestados:
- La junta directiva revisa y aprueba las políticas de más alto nivel sobre los riesgos de privacidad y seguridad de las TI (23% de los encuestados)
- La junta directiva revisa y aprueba las funciones y responsabilidades del personal responsable de la privacidad y la seguridad de las TI (19% de los encuestados)
- La junta directiva revisa y aprueba presupuestos anuales para mejorar la privacidad y programas de seguridad de las TI (28% de los encuestados)
- La junta directiva recibe regularmente informes de las gerencias con respecto a la privacidad y riesgos de seguridad de las TI (38% de los encuestados)
Las conclusiones son similares a las encuestas realizadas en 2008 y 2010. La diferencia es, por supuesto, el continuo aumento del riesgo para la seguridad cibernética debido a la delincuencia organizada, al hacktivismo y la guerra cibernética, que han aumentado de manera exponencial, pero las empresas mantienen su estatus quo, lo que significa que las empresas se están quedando cada vez más rezagadas. Como consecuencia de varios incumplimientos de alto perfil en la seguridad empresarial el año pasado, muchas de estas compañías corren el riesgo de perjudicar sus ventajas competitivas por fallas en su seguridad.
Jody Westby, CEO de Rieskgo Global y miembro distinguido adjunto de Carnegie Mellon CyLab declaró: “La privacidad y la seguridad son temas de competitividad, y las empresas que asumen la actitud de “un espacio de trabajo confiable” con sus empleados, también transmiten el mensaje de “negocio confiable” al mercado.”
Estos resultados reivindican a los CISO y CSO que por mucho tiempo se han quejado de problemas de seguridad y no han recibido la atención adecuada por las juntas directivas y gerencias, y que reciben escasos presupuestos para el manejo adecuado de la seguridad. Parece ser que las altas direcciones no se dan cuenta que los riesgos de privacidad y la seguridad de las TI son parte del manejo del riesgo empresarial, pero muy pronto pueden darse cambios en el manejo de esta política.
Por mucho tiempo las juntas directivas y gerencias han tenido a su cargo el deber fiduciario de proteger los activos tangibles de sus organizaciones. Pero ahora, este deber se extiende a los activos digitales. Nuevas regulaciones se avistan en el horizonte que se encargarán de dar a conocer a los clientes, proveedores e inversores los casos de ataques cibernéticos si estos causan un daño significativo a la empresa.
Algunas señales de progreso
Sin embargo, las noticias no son del todo negativas, existen indicios que señalan un aumento en el número de la formación de comités de amenazas para supervisar la gestión de los riesgos. En el 2008, sólo el 8% de las juntas directivas tenían comités de riesgo y amenazas, en comparación al 46% referido en esta última encuesta. Las juntas directivas también valoran mucho más tener contratados a directivos con experiencia en seguridad de las TI: el 27% de los encuestados indicaron que poseen un director externo con experiencia en seguridad cibernética, frente al 18% en 2010.
Una de las señales más positivas fue el aumento continuo en las organizaciones de comités inter-organizacionales para gestionar la privacidad y seguridad: El 70% de los encuestados en 2012 tenía este punto resuelto de alguna manera, por encima del 65% en el 2010 y el 17% en 2008.
Recomendaciones
Para ayudar a las juntas directivas empresariales a mejorar la administración corporativa de la seguridad y la privacidad, los resultados preliminares de esta investigación incluyeron algunas recomendaciones claves que deben llevar a cabo las organizaciones para mejorar el manejo de la seguridad, tales como:
- Establecer el “modelo a seguir desde lo más alto” para así establecer políticas de seguridad y privacidad desde el más alto nivel.
- Revisar las funciones y responsabilidades para la privacidad y la seguridad y asegurarse de asignar profesionales calificados de tiempo completo y que el riesgo y la responsabilidad sea compartida a través de toda la organización.
- Asegurar que fluya regularmente la información sobre privacidad y riesgos de seguridad entre los altos ejecutivos y los consejos, incluidos los incidentes cibernéticos y las infracciones.
- Revisar los presupuestos anuales para el manejo de la privacidad y la seguridad de las TI, y que este se encuentre separado del presupuesto del CIO.
- Realizar revisiones anuales del programa de seguridad de la empresa y la eficacia de sus controles, revisar los resultados, y garantizar un manejo de las carencias y deficiencias.
- Evaluar una adecuación de cobertura de un seguro cibernético contra el perfil de riesgo de la organización.
Añade Westby: “Una dirección eficaz aumenta la rentabilidad a través de la disminución de los riesgos y pérdidas asociados a los costos de cumplimiento, tiempo de inactividad operacional, ciberdelincuencia y robo de la propiedad intelectual.”
Por Carlos Zevallos
