El mundo se encuentra en constante evolución. Desde 2020, y de acuerdo con el “Reporte 5.0 Impacto COVID-19 en Venta Online México”, elaborado por la Asociación Mexicana de Venta Online 1, tan sólo de abril a junio de ese año se registró un incremento de 90% por el uso de aplicaciones de compras en México. Esto sin contar a los consumidores que se tuvieron que bancarizar para pagar servicios.
Aunque el panorama de crecimiento es alentador, existe otro escenario que está creciendo a mayor velocidad y que necesita un compromiso de cada industria y departamento para poder hacerle frente: la ciberseguridad.
Como contexto, durante la primera mitad de 2022, se registraron 85 mil millones de intentos de ciberataques en México; 40% más en comparación con el año pasado, un número que a cada día y hora crece de forma constante. Aunque existan equipos dedicados a contener los ciberataques, sabemos que es un reto agotador para cada departamento de seguridad y sus equipos, especialmente cuando se sienten aislados en torno a la toma de decisiones respecto a la ciberseguridad.
De hecho, una investigación realizada por Proofpoint, demostró que sólo un 21% de los directores de seguridad de la información a nivel global, están alineados con sus contrapartes corporativas respecto a ciberseguridad. Es un dato alarmante, sobre todo si se toma en cuenta que esta afecta a todo el ecosistema: consumidores, industrias, empresas, plataformas de comunicación y de almacenamiento. 2
Ante esta falta de comunicación entre departamentos, deberá lograrse una interacción y compromiso claro entre líderes directivos y de seguridad, con el fin de satisfacer las metas de asegurar información y administrar recursos. Para lograrlo es necesario:
1. La interacción entre equipos debe ser prioridad.
Algo clave es que las empresas y organizaciones que no se alinean en sus metas de trabajo, tienden a aislar las decisiones corporativas a otros departamentos; lo que se convierte en un escenario ideal para la ciberdelincuencia. Independientemente de las prioridades de cada una de ellas (negocio o desarrollo), el nivel corporativo y el departamento de TI deben comunicarse de una forma clara y de fácil comprensión, con lo que la barrera de la alta especialización se diluye, al lograr que todos los involucrados comprendan las ventajas, y los claros riesgos empresariales que ciertas decisiones podrían afectar al negocio.
Para lograr esta conversación y fortalecer el compromiso se deben tratar de responder las siguientes preguntas:
¿Disponemos de prácticas y recursos necesarios para identificar riesgos cibernéticos?
¿Debemos establecer un índice de tolerancia?
¿Los supervisamos y gestionamos? Y por ende, ¿podemos asignarles recursos adecuados?
2. Definir roles y responsabilidades.
Ocurre a menudo que los departamentos directivos tratan por error de administrar el ciberiesgo, en lugar de delegarlo al líder de seguridad (y de su equipo). Los consejos de administración no deben dirigir el riesgo y las operaciones, sino deben gobernar y validar los niveles de tolerancia al riesgo.
Hay que tomar en cuenta que la alta dirección no está ahí para ejecutar la estrategia. Sí, deben promover y defender las innovaciones, estableciendo una voz unificada para la organización. Pero deben dar al equipo de seguridad la autonomía y apoyo necesario para que cuando se hable de innovación sean el equipo del “cómo”, eliminando la percepción de que la seguridad no es prioridad para la organización.
3. Cerrando frentes.
La mejor apuesta que tienen las organizaciones para establecer una postura efectiva en torno a la seguridad debe basarse en tener una junta directiva involucrada y comprometida. Algo importante es que todos los equipos involucrados, abarcando ejecutivos, directivos y seguridad, no solamente busquen problemas, sino también soluciones para que sus organizaciones sean más resistentes a la ciberdelincuencia.
Al cerrar la desconexión entre líderes de ciberseguridad y sus consejos de administración, las organizaciones pueden prepararse mejor para proteger, detectar, responder y recuperarse del mundo cada vez más omnipresente de la ciberdelincuencia.