Digital Trust Survey 2023

Un panorama empresarial nuevo y desafiante

Como consecuencia de la sucesión de acontecimientos imprevisibles, la alta dirección ha empujado a sus compañías y a ellos mismos a salir de su zona de confort. Han llevado servicios a la nube, han digitalizado sus cadenas de suministro, han puesto en marcha modelos de trabajo híbridos… y con cada nueva aventura han emergido nuevos ciberriesgos.

Los CISO han tomado la iniciativa y han salido de su función de especialistas para pasar a liderar la estrategia de ciberseguridad, junto con todo el equipo directivo. Una colaboración que nunca antes había sido tan estrecha.

El 46% de los CEO -49% en empresas que ya han sufrido un ciberataque- esperan dar más autoridad al CISO para que impulse la colaboración interna entre la alta dirección en cuestiones clave de ciberseguridad.

Descubre cómo los altos directivos están trabajando junto a los CISO en la toma de decisiones de ciberseguridad para llevar a cabo sus planes de crecimiento dentro de las empresas.

CISO

Ciberseguridad en la alta dirección

La digitalización ha hecho que la ciberseguridad sea un asunto que interesa a todos, y ese cambio cultural empieza por el primer ejecutivo de la compañía. Los principales grupos de interés de la empresa -accionistas, clientes y empleados- ya consideran las brechas de seguridad como una falta de confianza; y generar y preservar esa confianza es uno de los principales objetivos de los CEO. Las grandes transformaciones son la forma más eficaz de potenciar la ciberseguridad dentro de las compañías y sólo el CEO es capaz de impulsarlas.

El 51% de los CEO y de los miembros de la alta dirección exigen planes para la gestión de los ciberriesgos cuando se producen grandes cambios de negocio en las empresas.

Llamada a la acción:

Comunicar el compromiso del CEO con la ciberseguridad y utilizar su influencia para impulsar cambios profundos y eliminar las barreras que existen dentro de la empresa y que impiden alcanzar una buena coordinación con la alta dirección.

CEO

¿Cómo puede el CEO marcar la diferencia en materia de ciberseguridad?

Los Chief Information Officer (CIO) y sus equipos de desarrollo son los que habitualmente marcan el ritmo para el desarrollo de los servicios en la nube, pero tienen que trabajar de forma más estrecha con los CISO y con los equipos de compliance para mitigar los temores de la alta dirección sobre las violaciones de ciberseguridad en la nube. El número de ataques en la nube ha crecido, según el 40% de las compañías, y el 66% de los ejecutivos reconocen que los riesgos relacionados con la nube no están completamente cubiertos.

El 19% de los CIO, CISO y CTO confían plenamente en que sus empresas han tomado las medidas necesarias para protegerse de las cuatro causas más comunes de ciberataques en la nube.

Llamada a la acción:

Como CIO, para asegurar el back-end, el front-end, y otras tecnologías sobre la que se sustenta tu operativa, te conviene trabajar junto con el CISO para proteger los entornos en la nube, desde el principio y en todo momento.

CIO/CTO

¿Es nuestro plan de seguridad en la nube tan dinámico como nuestro negocio?

Los CISO y los directores financieros -Chief Financial Officers (CFO)-, han cambiado su forma de invertir en ciberseguridad. Ahora están utilizando los datos para tomar decisiones financieras teniendo en cuenta los objetivos del negocio y sus principales riesgos. A medida que las soluciones tecnológicas se multiplican es necesario trabajar con el CISO para diseñar un plan integral que proteja a la compañía en diferentes planos.

El 39% de los CFO afirman que disponer de más soluciones tecnológicas contribuirá a mejorar la ciberseguridad de la empresa.

Llamada a la acción:

A medida que el departamento de IT se moderniza y se simplifica, conviene preguntarse cómo se puede lograr la mayor reducción de los ciberriesgos por cada euro invertido. Las empresas que son conscientes de los costes económicos de cada riesgo son más propensas a protegerse mejor.

CFO

¿Invierte tu empresa lo necesario y en las áreas adecuadas? ¿Estamos reduciendo los ciberriesgos en relación con nuestro nivel de inversión?

La cadena de suministro está en el centro de los objetivos de los cibercriminales. Los máximos responsables de las operaciones en las empresas -los Chief Operating Officers (COO)-, están empezando a abordar estos desafíos de ciberseguridad formando a los trabajadores, invirtiendo en tecnología y gestionando mejor los riesgos de terceros. Pero el peso cada vez mayor del uso del software y del hardware para el control de los equipos industriales -la llamada tecnología operativa (TO, por sus siglas en inglés)-, implica que deben prestar también especial atención a su protección contra posibles ataques.

El 56% de los Chief Revenue Officers (CRO) y Chief Operating Officers (COO) están extremadamente preocupados o muy preocupados por la capacidad de su empresa para hacer frente a los posibles ataques en la cadena de suministro.

Llamada a la acción:

Planifica, junto con el CISO y el CIO, cómo mejorar la seguridad de la tecnología operativa.

COO

¿Qué se puede hacer para que la cadena de suministro y la tecnología operativa sean menos vulnerables y más resistentes a los ciberataques?

Los Consejos de Administración están más comprometidos con la ciberseguridad y reconocen lo difícil que es mantenerse al día en esta materia. Sin embargo, el futuro de la ciberseguridad podría ser diferente. Los directivos de las empresas están dispuestos a aprender y a dedicarle más tiempo a comprender los ciberriesgos vinculados a la estrategia empresarial. Y están dispuestos a mejorar la presentación de informes en el ámbito de la ciberseguridad.

El 59% de los miembros del Consejo de Administración creen que éste órgano no es muy efectivo a la hora de comprender los factores y el impacto de los ciberriesgos que afectan a sus empresas.

Llamada a la acción:

Se debe animar a los CISO a hablar en el mismo idioma que el Consejo de Administración. Habrá que asegurarse de realizar ejercicios que permitan a la alta dirección entender la capacidad de resiliencia de su empresa.

Consejos de Administración

El Consejo de Administración, ¿está haciendo lo suficiente? ¿Cómo pueden sus integrantes gestionar mejor la ciberseguridad de la empresa?

Los máximos responsables de los datos en las compañías -los Chief Data Officers (CDO)- se han enfrentado a muchos desafíos, ya que los datos están ahora en el centro de atención, tanto para lo bueno como para lo malo. De hecho, el 50% de los CDO no se sienten lo suficientemente confiados en la gestión y la seguridad de los datos dentro de sus organizaciones como para tomar decisiones a partir de ellos. No obstante, la buena noticia es que los CDO son considerados cada vez más importantes. Así, incrementar la colaboración con el CISO puede contribuir a proteger mejor los datos y a su privacidad.

El 31% de los Chief Data Officers (CDO), Chief Procurement Officers (CPO) y Chief Marketing Officers (CMO) mantienen relaciones "muy productivas" con el CISO y toman en consideración la privacidad y la seguridad de los datos en el ámbito del marketing.

Llamada a la acción:

El CDO debe trabajar con el CISO para responder a las expectativas de los diferentes grupos de interés, abarcando todos los ángulos importantes de la seguridad y la privacidad de los datos: gobierno, accesibilidad, veracidad y más.

CDO

¿Cómo se pueden gestionar y proteger los datos de los consumidores para garantizar su privacidad y seguridad a la hora de ser utilizados por la compañía?

Los CISO y los máximos responsables de los riesgos -los Chief Risk Officers (CRO)-, están colaborando para incorporar los ciberriesgos a los planes de gestión de riesgos corporativos de sus compañías. Sin embargo, siguen existiendo muchas áreas de mejora. La digitalización puede acarrear un mayor nivel de exposición al riesgo del que puede asumir la empresa. Y para protegerse de los ciberataques cada vez más sofisticados es necesario crear, probar y poner en marcha sólidos planes y controles de resiliencia operativa y tecnológica.

El 46% de los CRO y COO afirman contar con controles en toda la organización para prevenir graves ciberataques.

Llamada a la acción:

Hay que adoptar un enfoque que contemple "todos los peligros" para identificar las posibles fuentes de incidentes y crear un programa de resiliencia que integre las competencias básicas de la gestión de crisis, continuidad del negocio, prevención de accidentes y resolución de incidentes para garantizar una respuesta coherente y coordinada de toda la empresa.

CRO

¿Cómo afectan la ciberseguridad al nivel de tolerancia al riesgo de nuestra empresa?¿Hasta qué punto están comprometidos los responsables de las áreas de negocio en la gestión de los ciberriesgos?

Los CISOs y los directores de recursos humanos -Chief Human Resources Officers (CHRO)- están rompiendo con el pasado y han ampliado los parámetros de contratación de personal más allá de las certificaciones y los títulos en tecnología. Son conscientes de que algunas cuestiones, como la capacidad de resolución de problemas, son al menos igual de importantes que los propios conocimientos tecnológicos, y están ampliando los perfiles que buscan.

El 54% de los CISO y CIO dicen que la rotación y el desgaste de sus equipos es un problema. Un 40% está monitorizando esta cuestión.

Llamada a la acción:

Pregúntate qué capacidades necesita realmente tu equipo de ciberseguridad, actualiza la forma de contratarlo y ofrece incentivos y vías de crecimiento para fidelizarlo.