La ciberseguridad es una amenaza constante en la actualidad, sin embargo, ¿por qué tantos ejecutivos ignoran este problema? Los consejos de administración y los ejecutivos de las empresas se supone que son buenos en el equilibrio entre el riesgo y la oportunidad, entonces, ¿por qué muchos tienen un gran punto ciego cuando se trata de la seguridad informática?
Los incidentes de piratería informática y las violaciones de seguridad de datos continúan siendo frecuentes, a pesar de la llegada de las normas de protección de datos del GDPR en mayo, que tienen como objetivo impulsar a las organizaciones europeas a mejorar la seguridad bajo el riesgo de grandes multas. Muchas organizaciones todavía no están logrando implementar correctamente la ciberseguridad o no entienden en qué deben actuar.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés) está buscando cambiar esta situación. “La ciberseguridad es ahora un riesgo empresarial común. Por lo tanto, los líderes corporativos necesitan comprender las amenazas existentes y las formas más efectivas de gestionar los riesgos”, dijo recientemente Ciaran Martin, director ejecutivo del NCSC. “Pero para tener discusiones claras y enfocadas en los negocios a nivel de la junta directiva, los miembros de la junta necesitan tener un poco de conocimiento técnico. Necesitan entender el riesgo cibernético de la misma manera en que entienden el riesgo financiero o el riesgo de salud y seguridad”.
Sin embargo, muchos ejecutivos de nivel directivo aún parecen no entender los riesgos de la ciberseguridad, incluso si están gastando más en seguridad informática que antes. Esto es incluso después del ataque de ransomware WannaCry y el brote de malware NotPetya, ambos causaron daños enormes y costos de limpieza a las organizaciones de todo el mundo afectadas por el malware.
Entonces, ¿por qué los altos mandos de muchas organizaciones aún no entienden los riesgos a los que se enfrentan o no saben qué deben hacer para contrarrestarlos? Un problema es que dentro de muchas organizaciones, la ciberseguridad todavía se ve como un problema del departamento de TI, en lugar de ser un problema de toda la empresa. “Se ha visto principalmente como un problema de TI porque algunos de los requisitos para prevenir los ataques cibernéticos requieren mecanismos y procedimientos técnicos, por lo que los consejos de administración piensan que el equipo de tecnología se encargará de ello”, dice Sarah Pearce, socia de la práctica de privacidad y ciberseguridad en el bufete de abogados internacional Paul Hastings.
Es comprensible que aquellos que no tienen un conocimiento técnico completo piensen que los responsables de la seguridad informática son los que reparan las computadoras. Sin embargo, en la mayoría de los casos, los atacantes no van tras el departamento de TI, sino que apuntan a las finanzas, recursos humanos y otras áreas de la organización que poseen datos valiosos, y a usuarios que pueden no estar al tanto de los problemas de ciberseguridad.
“Ahora, la ciberseguridad afecta a todas las partes de una organización y creo que ahora hay un mayor reconocimiento de eso”, dice Pearce. “Pero no se ha asignado ninguna o muy poca responsabilidad y en realidad debe ser impulsado desde un nivel centralizado y superior para que todas las divisiones del negocio estén comprometidas y eso aún no se ha coordinado, y en algunas empresas, aún no es el caso”, agrega.
En conclusión, es fundamental que los ejecutivos de nivel directivo comprendan los riesgos de la ciberseguridad y tomen medidas para proteger a sus organizaciones. La ciberseguridad ya no es solo un problema del departamento de TI, sino que afecta a todos los aspectos del negocio. Es responsabilidad de los líderes corporativos garantizar que se implementen las medidas adecuadas para proteger los datos valiosos de la empresa y evitar posibles ataques cibernéticos.
