En su carta anual a los accionistas, el CEO de JPMorgan Chase, Jamie Dimon, escribió: “La amenaza de la ciberseguridad bien podría ser la mayor amenaza para el sistema financiero de Estados Unidos”. Esto no es una novedad para los banqueros. Según el estudio anual “What’s Going On in Banking” de Cornerstone Advisors, la ciberseguridad ha sido una de las principales preocupaciones de los ejecutivos bancarios y de las cooperativas de crédito en los últimos años. Y están invirtiendo dinero en donde están sus preocupaciones. Según Kaspersky Lab, las empresas de servicios financieros gastan $1,436 por empleado en ciberseguridad, más del doble de lo que gasta la industria minorista (gracias, minoristas).
Esto no significa que haya consenso en cuanto a las opiniones sobre la ciberseguridad. Existen cinco creencias comunes (o mitos) sobre la ciberseguridad que deben cambiar.
Mito #1: “La ciberseguridad es responsabilidad del departamento de TI”.
Hay un problema común en el mundo empresarial actual: la creencia de muchos altos ejecutivos de que designar a un ejecutivo de nivel C para supervisar un problema o desafío se encargará de ello o lo hará desaparecer. Si necesitas pruebas, considera cuántas empresas tienen ahora un Director de Analítica, IA, Marca, Cliente, Datos, Digital, Experiencia, Conocimiento… No quiero seguir, ¿verdad? Estoy a favor de un Director de Seguridad de la Información (CISO), pero muchos ejecutivos empresariales piensan que, al tener uno, esa persona (y el departamento de TI) tiene bajo control los esfuerzos de ciberseguridad. No funciona así.
El CISO de un banco de $3 mil millones me dijo: “Puede que sea responsable de la seguridad de la información del banco, pero son el equipo ejecutivo y los jefes de departamento quienes deben asegurarse de que gestionamos y mitigamos eficiente y efectivamente los riesgos operativos diarios de la ciberseguridad”. Las brechas de datos y los ciberataques afectan a toda la empresa, no solo a una unidad, división o departamento. Las decisiones para mitigar estas amenazas no deben ser relegadas al departamento de TI. Además, los incidentes cibernéticos requieren comunicaciones con los clientes, empleados, socios y medios de comunicación de la institución. El equipo ejecutivo y la junta directiva deben ayudar a redactar las respuestas de la organización.
Mito #2: “No tenemos que preocuparnos, solo los grandes bancos están en riesgo de ciberataques”.
Piénsalo de nuevo. Según un estudio de Nationwide, los bancos con menos de $1 mil millones en activos fueron víctimas de casi la mitad (47%) de todos los ciberdelitos relacionados con bancos entre 2012 y 2017. El estudio también encontró que las instituciones financieras con menos de $35 millones en ingresos representaron el 81% de los ataques de piratería y malware en 2016, un aumento del 54% con respecto al año anterior.
Es importante que todas las empresas, independientemente de su tamaño, tomen en serio la ciberseguridad. Los ciberataques no discriminan y pueden tener consecuencias devastadoras para cualquier organización. La ciberseguridad debe ser una prioridad en todos los niveles de la empresa, desde la alta dirección hasta los empleados de todos los departamentos.
En resumen, es fundamental desmitificar las creencias erróneas sobre la ciberseguridad. No es solo responsabilidad del departamento de TI y no solo los grandes bancos están en riesgo. La ciberseguridad es un desafío que todas las empresas deben abordar de manera proactiva y colaborativa.
