Los altos directivos deberían implicarse directamente en la ciberseguridad
Un informe advierte del riesgo y las pérdidas económicas que supone para las organizaciones no introducir a ejecutivos de nivel C en cuestiones relacionadas con la seguridad cibernética.
La seguridad informática es un serio problema que puede costar a las empresas mucho dinero. Sin embargo, aún hoy las altas esferas lo consideran únicamente una cuestión de TI. Un estudio realizado por la Internet Security Alliance (ISA) y American National Standards Institute (ANSI) y titulado “The Financial Management of Cyber Riks” concluye que los ejecutivos de nivel C (CIO, CFO, CMO…) deberían involucrarse directamente en la gestión de las incidencias relacionadas con la ciberseguridad, hasta el punto de que la empresa debería cambiar su organigrama para adaptarse al mundo interconectado actual. Algunas de las recomendaciones señaladas en el informe son: designar un equipo o un departamento de ciber riesgo, desarrollar un plan de gestión en ciberseguridad para todos los departamentos y elaborar un presupuesto total en materia de seguridad.
El informe demuestra que las cifras de pérdidas ascendieron a 1 billón de dólares en ciberataques contra la propiedad intelectual entre los años 2008 y 2009 en Estados Unidos; cifra que no incluye las pérdidas por robos de información personal y el descenso de clientes. Es más, según revela el estudio, el coste total de un típico ataque sobre 10.000 registros personales supondría unas pérdidas de unos 2 millones de dólares para una organización cualquiera.
“Creemos que si podemos educar a las organizaciones estadounidenses en lo mucho que están perdiendo actualmente, podremos pasar al siguiente paso, que supone solucionar el problema” afirma Larry Clinton, presidente de la ISA. Entre el 80 y el 90 % de los problemas relacionados con la ciberseguridad pueden evitarse con una combinación de prácticas más eficaces, estándares y seguridad tecnológica, explica el directivo, aunque muchas empresas necesiten entender los problemas asociados de las malas prácticas en materia de seguridad antes de proceder al cambio.
De momento, y pese a las recomendaciones del presente estudio, sólo un pequeño porcentaje de altos ejecutivos está supervisando directamente algún plan de ciberseguridad dentro de sus compañías. Además, en muchas de estas organizaciones y empresas, gran parte de los empleados no ven la ciberseguridad como parte de su trabajo. “Generalmente, la gente no piensa en la responsabilidad a la hora de proteger sus propios datos”, apunta Clinton.
Para complicar más la situación, los departamentos relacionados con las TI de muchas compañías y organizaciones en Estados Unidos son considerados como muy costosos y que no reportan beneficios. El informe revela que muchos empleados no entienden o se sienten intimidados por las herramientas de seguridad informática.
Por esta razón, según el presidente de la ISA y otros expertos en ciberseguridad, las organizaciones deben entender que, en el mundo interconectado de hoy, la falta de seguridad puede perjudicar a los clientes y a los socios de una empresa; además de afectar, insisten, a cuestiones relacionadas con la seguridad nacional.
