Reconocer la importancia de la evaluación del riesgo cibernético, pasar de la concientización a la acción y situar a la seguridad en primer plano, es la base para el éxito empresarial.

Vivimos tiempos de incertidumbre, en el que las tensiones geopolíticas, la interrupción de la cadena de suministro y los cambios bruscos en las políticas comerciales crean un escenario de desafiante para los líderes de empresas. A muchos se les podría perdonar que paralizaran la inversión y buscaran áreas en las que recortar gastos. Hay varias razones por las que la ciberseguridad no debería estar entre ellas.

Los responsables de IT o de seguridad, ya sabrá por qué. Pero, ¿lo saben el director general o el consejo de administración? Algunas investigaciones revelan que solo el 29% de los CISO creen que tienen suficiente presupuesto para alcanzar sus objetivos de seguridad. Sin embargo, el 41% de los miembros de la junta directiva cree que los presupuestos son adecuados. 

El mejor momento para reconocer la gravedad del riesgo cibernético, cerrar las brechas de percepción y poner la seguridad en primer plano y, en última instancia, convertir la concienciación en acción es hoy mismo.

Las pymes siguen apagando fuegos

No cabe duda de que la ciberseguridad es mejor comprendida y apreciada en los niveles superiores de lo que solía ser. Pero sigue considerándose su costo, y no su posición estratégica, sobre todo para las pymes. Según la Asociación Global de la Industria Tecnológica (GTIA), casi la mitad (46%) de las pequeñas y medianas empresas describen la ciberseguridad como un área de «importancia moderada», mientras que el 12% de las pymes encuestadas admiten que todavía están en modo táctico/reactivo. En otras palabras, están apagando fuegos constantemente, en lugar de dedicar tiempo y dinero a evitar que se inicien.

Hay dos formas de cambiar esta mentalidad. En primer lugar, articular más claramente cómo la ciberseguridad puede ayudar a su consejo a evitar riesgos empresariales potencialmente críticos. Y, en segundo lugar, defender con más fuerza la ciberseguridad como elemento facilitador del negocio.

Contabilizar el costo de una ciberseguridad inadecuada

La buena noticia es que no faltan estudios de casos, pueden utilizarse convencer a la junta del costo potencial que tiene no presupuestar suficientes fondos destinados a ciberseguridad:

• M&S prevé una pérdida de beneficios operativos de 300 millones de libras por un reciente ataque de ransomware que obligó a desconectar sus sistemas de comercio electrónico durante varias semanas.
• UnitedHealth Group calcula que el coste de un ataque de ransomware a Change Healthcare será de casi 2.900 millones de dólares en 2024.
• National Public Data, especialista en comprobación de antecedentes, se vio obligada a declararse en quiebratras una filtración en 2024 que expuso casi 3.000 millones de registros.

Otro buen recurso es el informe de IBM Cost of a Data Breach (El costo de una filtración de datos), que no solo esboza el costo medio de una filtración (4,4 millones de dólares), sino también cuánto pueden reducir esta cantidad las inversiones tecnológicas específicas o las estrategias de ciberseguridad. La conclusión es que cuanto más tiempo se permita a las amenazas permanecer dentro de la red, más caro puede salir. Por ello, productos como SIEM, SOAR y la inteligencia sobre amenazas ocupan los primeros puestos en cuanto a ahorro potencial de costes. Y lo que es mejor, también enumera esfuerzos más estratégicos, como DevSecOps, el nombramiento de un CISO y la supervisión a nivel directivo.

Es de esperar que este tipo de información empiece a desviar la atención del gasto reactivo hacia el desarrollo de una cultura de seguridad por diseño más reflexiva en su organización.

De centro de costos a habilitador de negocio

Si el riesgo de daños financieros y a la reputación no es suficiente para cambiar la percepción de la ciberseguridad en tu organización, quizá el argumento del cumplimiento de las normativas ayude a llevar estas conversaciones más allá de la línea.

Leyes como NIS2 y DORA en la UE exigen ahora que la ciberseguridad se trate como un programa continuo de gestión de riesgos diseñado para mejorar la resistencia de la empresa. Se espera que la alta dirección defina, apruebe y supervise directamente estos programas, y que reciba formación obligatoria para que sus miembros comprendan los riesgos y tomen decisiones con conocimiento de causa. Deben responsabilizarse personalmente de su aplicación.

Sin embargo, no todas las PYME estarán cubiertas por una normativa tan progresiva. Entonces, ¿cómo persuadir a los ejecutivos que no creen que su organización sea lo suficientemente grande como para ser víctima de una violación, de que una seguridad «suficientemente buena» no es realmente suficiente? Apelando a sus instintos empresariales. De este modo, hay argumentos de peso para afirmar que una estrategia de ciberseguridad eficaz podría

Ayudar a fidelizar a los clientes e impulsar los beneficios lanzando productos innovadores al mercado. Hoy en día, todas las empresas son, en cierta medida, empresas de software. Pero lanzar un producto inseguro puede destruir la reputación y la fidelidad de los clientes.

Ayudar a proteger la propiedad intelectual y la diferenciación competitiva. Esto será especialmente importante en determinados sectores como la fabricación, la tecnología y los medios de comunicación.

Permitir la expansión a nuevos mercados en los que pueden aplicarse normativas rigurosas, como la Unión Europea o algunos estados de los Estados Unidos (por ejemplo, la ley de protección de datos CCPA de California).

Proteger la transformación digital. Si su organización sufre un ciberataque crítico, podría detener proyectos, desviar recursos, erosionar la confianza de las partes interesadas y provocar un cambio en las prioridades empresariales.

El mensaje y el mensajero

Así que tienes las ideas correctas, pero la junta sigue sin escucharte. ¿Cuál puede ser el problema? La desconexión puede venir de ambos lados. Por un lado, los líderes empresariales suelen estar culturalmente predispuestos a pensar en la cibernética como un «problema de TI» separado de los asuntos serios de la gestión de una organización. Pero, por otro lado, a veces los CISO pueden socavar su causa, al no hablar el lenguaje de la empresa.

Para superar este reto, considera:

• Enmarcar la ciberseguridad como un riesgo empresarial; abandonar la jerga técnica y hablar del impacto empresarial de diversos escenarios.
• Utilizar parámetros financieros y empresariales en lugar de los centrados en la seguridad. El estudio de IBM podría ser útil en este sentido, al igual que los estudios de Impacto Económico Total para soluciones codiciadas.
• Utilizar ejemplos del mundo real y cuentos con moraleja (como los anteriores) cuando se intente persuadir al consejo de administración para que apruebe inversiones específicas.

• Poner en contexto la postura de seguridad de su organización. En otras palabras, utilizar información sobre en qué están invirtiendo empresas similares, por qué y qué han conseguido. Esto ayudará a los directivos a entender en qué aspectos se está quedando rezagado.
• Informar poco y a menudo al consejo. No quieren que se les ahogue en datos, así que las presentaciones deben ser breves y concisas para captar su atención. Pero, al mismo tiempo, el panorama de las amenazas se mueve tan rápido que las actualizaciones periódicas son importantes.
• Establecer relaciones personales con los miembros del consejo de administración o los altos ejecutivos. Siempre ayuda tener un defensor en la mesa.

Las empresas más resistentes son las que pasan a ver a la ciberseguridad como un motor de confianza y valor a largo plazo, en lugar de un costo. En última instancia, es mucho más barato integrar la seguridad en el diseño de nuevos proyectos empresariales y ofertas de productos que adaptarla cuando algo va mal. 

Info – Welifesecurity