El 40% de los CEO cree que su empresa está protegida frente a ciberataques, pero sólo el 24% de los CISO comparte esa confianza

Según se puso de manifiesto en la jornada “El directivo ante el reto de la ciberseguridad. Un enfoque estratégico para el negocio” organizada por CEOE y UST, los directivos reconocen el riesgo de ciberataques, sin embargo, la ciberseguridad no está 100% integrada en la toma de decisiones. Como señaló Juan Fontán, managing director Spain & Latam de UST “si bien la ciberseguridad crece dentro de las empresas como prioridad estratégica, dado el creciente impacto de los ataques en la reputación y continuidad de negocio, existe en general una desconexión entre la percepción estratégica y la realidad operativa sobre el riesgo motivada por considerar aún la inversión en ciberseguridad como un gasto en lugar de una inversión estratégica. Cuando los estudios demuestran que las empresas que invierten estratégicamente en ciberseguridad pueden reducir en un 50% el impacto financiero de los ataques “.

La jornada, que contó con la participación de Google, CyberProof, Rural Servicios Informáticos,ING y Siemens reveló también cómo el CEO y el CISO difieren en la percepción sobre la ciberprotección. Así, mientras que el 40% de los CEO cree que su empresa está protegida frente a ciberataques, sólo el 24% de los CISO comparte esta confianza. En este sentido, según los participantes las empresas más seguras serán aquellas que sean ciberágiles. Como señaló Fontán, “en un entorno donde la velocidad y la incertidumbre son la norma, las empresas más seguras serán aquellas capaces de convertir la ciberseguridad en una práctica transversal, ágil y estratégica. Integrar la seguridad supone que la seguridad no ralentiza el negocio, sino que lo acompaña y lo protege desde una lógica de colaboración y mejora continua”.

Junto a la agilidad se destacó también la importancia de que las empresas desarrollen un ecosistema de ciberprotección, una verdadera resiliencia colectiva donde las empresas no solo protejan sus propios activos, sino que también fortalezcan las relaciones con su red de proveedores, partners y clientes. Para ello deben formalizar acuerdos de seguridad con los proveedores críticos, estableciendo cláusulas claras sobre la gestión de riesgos cibernéticos y mecanismos de transparencia, como auditorías conjuntas, para garantizar que todos los actores del ecosistema mantienen un nivel mínimo de protección. Adicionalmente, los participantes pusieron en valor el uso de plataformas de Threat Intelligence que permitan la compartición de alertas de seguridad entre empresas de un mismo sector y el uso de soluciones de CTEM extendido que permitan evaluar no solo la postura de seguridad interna, sino también la exposición de los partners clave. 

Por último, se señaló como tercer elemento fundamental de una buena estrategia de ciberprotección la necesidad de que la empresa evolucione de una gestión reactiva a una gestión inteligente del riesgo. Tradicionalmente, la ciberseguridad se ha gestionado como una suma de controles aislados, con un enfoque muy técnico y reactivo. Sin embargo, la verdadera transformación llega cuando se logra una visión unificada del riesgo, que integre la información sobre los distintos activos claves del negocio.