Directivos mexicanos desconocen términos básicos de ciberseguridad: Kaspersky
Uno de cada diez altos ejecutivos mexicanos no reconoce su desconocimiento cuando se discuten aspectos relacionados con la ciberseguridad, de acuerdo con estudio de Kaspersky. El informe también revela que el 20% de los directivos a nivel nacional no se sentiría cómodo reconociendo que no comprende ciertos términos de seguridad TI, como backdoor, botnet o DDoS.
Según un estudio de PwC, aunque ya es una norma en cualquier empresa que la ciberseguridad se tenga en cuenta en las decisiones comerciales, más de la mitad de los ejecutivos no está seguro de que los presupuestos de ciberseguridad se destinen a los riesgos más importantes que enfrenta su organización. Kaspersky dijo realizar su propia investigación para ayudar a los equipos de TI y altos ejecutivos a encontrar puntos en común y explorar la raíz de los malentendidos.
La encuesta indica que los ejecutivos de alto nivel a veces tienen dificultades para entender a sus homólogos del departamento de seguridad TI y no siempre están dispuestos a reconocer su falta de conocimiento. En México, el 13% de los directivos que no pertenecen al área de TI afirma que no se sentirían cómodos expresando que no entienden algo durante una reunión, tanto con el departamento de TI como con el departamento de ciberseguridad. Es más, la mayoría oculta su confusión porque prefieren aclarar todo después de la reunión o deciden resolverlo por sí mismos. En concreto, el 31% no hace preguntas adicionales porque no cree que sus compañeros de TI puedan explicar de forma clara. Además, 31% también se siente avergonzado al revelar que no entienden del asunto y el 8% no quiere parecer ignorante frente a sus colegas especialistas en el tema.
A pesar de que todos los altos directivos encuestados a nivel nacional discuten regularmente cuestiones de seguridad de TI con los directores responsables del área, más de uno de cada diez nunca ha oído hablar de amenazas como botnet (12%), APT (11%) o vulnerabilidades zero day (11%). Además, aunque cerca de tres de cada diez han escuchado los términos ransomware y DDos, admiten no sentirse capaces de explicar de qué se tratan.
“Los altos directivos que no forman parte del área de TI no tienen por qué ser expertos en la terminología y conceptos complejos de ciberseguridad, y los ejecutivos de seguridad de TI deberían tener esto en cuenta a la hora de comunicarse con la junta directiva”, comentó Sergey Zhuykov, arquitecto de soluciones en Kaspersky. “Para establecer una cooperación eficiente, el CISO debe centrar la atención de los altos ejecutivos en detalles significativos y explicar de manera clara qué está haciendo exactamente la empresa para minimizar los riesgos de ciberseguridad. Además de comunicar métricas claras a las partes interesadas, este enfoque requiere ofrecer soluciones en lugar de problemas”.
Para facilitar la comunicación entre los equipos de seguridad TI y las funciones de negocio, Kaspersky recomienda:
–La seguridad TI debe posicionarse como un vehículo de crecimiento e innovación en la organización. Para lograrlo, el equipo de seguridad TI debe alejarse de lo complicado y explicar cómo la empresa puede alcanzar sus objetivos mitigando los riesgos en ciberseguridad.
–El CISO debe participar activamente en las actividades operativas y establecer relaciones con las partes interesadas de la empresa. Menos del 20% de los CISOs ha establecido asociaciones con ejecutivos clave de ventas, finanzas y marketing, por lo que les resulta difícil mantenerse al tanto de las necesidades de la empresa.
–Al comunicarse con la junta directiva, se deben proponer argumentos basados en una descripción general de las amenazas por parte de los expertos, el estado de su empresa ante los ataques y las mejores prácticas.
–Explicar a la junta directiva cuáles son las principales responsabilidades del equipo de seguridad TI. Si es posible, brindar la oportunidad de ponerse en el lugar de un CISO para obtener información sobre los retos de ciberseguridad relevantes.
–Destinar los presupuestos de ciberseguridad a soluciones con eficacia y retorno de inversión probados. Herramientas que reducen el nivel de falsos positivos, así como el tiempo de detección de ataques o el que se dedica por cada caso, entre otras métricas, son importantes para cualquier equipo de seguridad TI.
WhatsApp eSemanal 55 7360 5651
