2 de cada 3 empresas sufren ciberincidentes por falta de comunicación entre directivos y equipos TI
Kaspersky sugiere que el CISO debería conocer el lenguaje empresarial básico para explicar mejor los riesgos existente y así poder tomar medidas.
Con el fin de determinar en qué medida el entendimiento entre ejecutivos y equipos de seguridad afecta a la ciberresiliencia, Kaspersky ha realizado una encuesta a más de 1.300 líderes empresariales de todo el mundo.
Del informe se desprende que el 97% de los encuestados españoles que no están relacionados con el sector TI reconoció falta de comunicación relativa a la seguridad informática. La consecuencia son retrasos en los proyectos (69%) e incidentes de ciberseguridad (62%).
Uno de cada tres encuestados asegura, incluso, haberse encontrado con estos problemas más de una vez (30% y 24% respectivamente). Otros efectos negativos son el despilfarro del presupuesto, la pérdida del talento y el deterioro de las relaciones entre los equipos, situaciones que se dieron en el 59% de los encuestados.
Además de empeorar los indicadores de negocio, la falta de claridad en la comunicación con los empleados de seguridad informática afecta al estado emocional del equipo, y provoca que los ejecutivos cuestionen las habilidades y capacidades de los empleados dedicados a la seguridad.
De igual forma, el 30% de los ejecutivos admite que los malentendidos les hacen perder la confianza en la seguridad de la empresa, mientras el 32% considera que es algo que les pone nerviosos y afecta a su rendimiento laboral.
“Una comunicación clara entre los directivos de la empresa y el equipo de seguridad TI es un requisito imprescindible para la seguridad corporativa”, asegura Alexey Vovk, director de Seguridad de la Información de Kaspersky.
“El reto es ponerse en el lugar de los demás, anticiparse y evitar los malentendidos. Esto supone que, por un lado, el CISO debería conocer el lenguaje empresarial básico para explicar mejor los riesgos existentes y la necesidad de tomar medidas de seguridad. Por otro lado, las empresas deben entender que la seguridad de la información en el siglo XXI es una parte integral del negocio y que se debe destinar un presupuesto para proteger los activos de la empresa”, añade.
Algunas sugerencias para mejorar la comunicación
Para conseguir una comunicación más fluida entre los departamentos de seguridad TI y la parte de negocio, Kaspersky recomienda:
- Comprender a los profesionales de otro ámbito no solo requiere de empatía, sino también un conocimiento adicional. Los empleados de seguridad TI pueden aprender más sobre la terminología y los conceptos empresariales básicos a través de cursos de formación. Por su parte, los directivos deben ponerse en el lugar de los CISOs para conocer los retos más relevantes de la seguridad TI.
- Tanto los responsables de TI como los que no lo son deben crear un ‘círculo informativo’ profesional. Se debe estar atento tanto a la agenda y la actualidad empresarial como a lo que sucede en el mundo de la ciberseguridad. Es algo clave para que haya éxito en la comunicación y el entendimiento mutuo.
- Los expertos en ciberseguridad deben utilizar siempre argumentos comprensibles para comunicar sus necesidades a la junta directiva y justificar así el presupuesto en ciberseguridad. Se debe utilizar información sobre las amenazas y las medidas de seguridad más relevantes según el sector de actividad y el tamaño de la empresa, con el fin de mostrar las probabilidades que existen de estar expuesto a riesgos y cuáles son las medidas de protección más oportunas.
- Hoy en día, las ciberamenazas son cada vez más relevantes y las empresas se ven obligadas a aumentar el presupuesto en seguridad. Por ello, es muy importante destinar las inversiones a herramientas eficaces, que demuestren de forma sencilla el retorno de la inversión. Esto supone contratar soluciones que reduzcan las falsas alarmas, acorten el tiempo de detección de los ataques y también el tiempo dedicado a cada uno de ellos, aspectos muy importantes para cualquier equipo de seguridad TI.