Falta implicación y coordinación en los directivos para combatir la ciberdelincuencia

Aunque no lo parezca, una gran mayoría de los directivos no tiene claro quién es el auténtico ciberdelincuente y cómo combatirlo de un modo más eficaz. Ésta es una de las conclusiones del estudio de IBM titulado "Seguridad para la alta dirección. Perspectivas de ciberseguridad", para el que se han encuestado a más de 700 altos directivos, de 18 sectores y 28 países. Para obtener una imagen más fiel de lo que piensa el resto de la alta dirección acerca de la ciberseguridad se ha excluido la opinión del propio director de seguridad o CISO (Chief Information Security Officer).

Según se recoge, en las empresas hay confusión en cuanto a quiénes son los verdaderos adversarios en la ciberdelincuencia: el 70% de los directivos cree que la principal amenaza procede de posibles empleados corruptos. Sin embargo, según un informe de Naciones Unidas, el 80% de los ciberataques procede de organizaciones de crimen organizado. Aunque –según en el de IBM, el 54% de los encuestados admite que el crimen organizado es una de sus principales preocupaciones, y un porcentaje similar concede la misma importancia a la competencia.

Así la ciberseguridad es una de las principales preocupaciones en las empresas, según confirma el 68% de los directivos. Sin embargo se desvela que no hay suficiente implicación y coordinación entre los directivos de las diferentes áreas de la empresa y los directores de seguridad o CISOs. Aunque los departamentos de marketing, recursos humanos y finanzas son los principales objetivos de los ciberdelincuentes - puesto que gestionan parte de la información más confidencial de los clientes y empleados y manejan las finanzas corporativas-  aproximadamente un 60% de los directores de estas áreas reconoce que no está involucrado de manera activa en la estrategia y puesta en práctica de la ciberseguridad. Por ejemplo, solo el 57% de los directores de recursos humanos organiza cursos de formación en materia de ciberseguridad para empleados de su organización, un elemento clave para que éstos se involucren.

Colaboración necesaria

El informe, realizado por el Institute for Business Value de IBM, revela también que más del 50% de los consejeros delegados entrevistados coincide en que para combatir la ciberdelincuencia es necesario colaborar. A pesar de ello, solo un tercio de ellos ha expresado su voluntad de compartir externamente información de su organización relativa a los incidentes sobre ciberseguridad. Y es  que hay bastante resistencia a colaborar de forma coordinada y generalizada. Mientras tanto los hackers siguen perfeccionando su capacidad para compartir información en tiempo real a través de la Red Oscura o Dark Web. Por otro lado, los consejeros delegados hacen hincapié en que los agentes externos han de hacer más: reclaman desde una mayor supervisión gubernamental hasta una mayor colaboración y cruce de información transfronteriza.

“El mundo de la ciberdelincuencia está evolucionando rápidamente pero muchos altos directivos no han actualizado sus conocimientos sobre las amenazas existentes”, ha afirmado Caleb Barlow, vicepresidente de IBM Seguridad. “Se debería involucrar de forma más proactiva a los directores de marketing, recursos humanos y finanzas –algunos de los departamentos que custodian los datos más importantes de una empresa- en la toma de decisiones de los directores de seguridad".

La posibilidad de la propia compañía sufra algún incidente importante relacionado con la ciberseguridad en los próximos dos años es bastante firme para el 94% de los entrevistados. Y solo el 17% de los entrevistados se siente preparado y capaz de responder a estas amenazas. IBM ha identificado cuáles son los encuestados que mejor están preparados para hacer frente a las amenazas de seguridad y les ha denominado  “ciberseguros”. Este grupo se caracteriza porque la probabilidad de que haya incorporado la colaboración e involucración de los directivos en el programa de ciberseguridad dobla a la del resto.

Consejos ciberseguros

Las principales recomendaciones que realiza el informe pasan por conocer el riesgo. Es importante calcular los riesgos del ecosistema, llevar a cabo evaluaciones de seguridad, dar formación a los empleados e incorporar la seguridad en el plan de riesgos de la empresa.

También es fundamental colaborar, formar y capacitar. Se ha de establecer un programa de gobierno de la seguridad, capacitar al CISO para llevarlo a cabo, comentar periódicamente el programa de ciberseguridad en las reuniones directivas e involucrarlos en el desarrollo de un plan de respuesta ante incidentes. Otro de los consejos que se derivan del estudio pasar por la vigilancia y rapidez en la gestión del riesgo. Implementar una monitorización continuada de la seguridad, aprovechar los análisis forenses de los incidentes, compartir y utilizar la analítica de la información sobre amenazas para proteger el entorno, conocer dónde residen los recursos digitales de las organizaciones y crear y aplicar políticas de ciberseguridad acordes con sus necesidades.