Por qué las buenas prácticas de seguridad empiezan por mejorar la comunicación entre las TI y la empresa

Siempre ha habido fricciones en la relación entre las TI y la empresa. Estas son especialmente intensas en el ámbito de lo cibernético, donde la función de seguridad ha sido considerada durante mucho tiempo como un obstáculo para la innovación y la productividad. Sin embargo, el abismo entre ambas partes nunca ha sido tan grande. Tampoco las repercusiones de la falta de comunicación y la desconfianza han sido tan potencialmente catastróficas. Un nuevo estudio de Trend Micro descubre la magnitud del problema.

Para crear la cultura de seguridad por diseño que necesitan las organizaciones modernas, la seguridad debe formalizarse e integrarse en todos los procesos empresariales.

Vivimos un momento en el que nuestros adversarios tienen la mayoría de las cartas. Las organizaciones mundiales están gastando colectivamente más de 150.000 millones de dólares este año en tecnología de seguridad. Y, sin embargo, el número de incidentes a escala global sigue aumentando. Trend Micro bloqueó casi 63.000 millones de amenazas en 2020, y 41.000 millones en el primer semestre de 2021. La expansión de la infraestructura y los servicios digitales de la era de la pandemia no ha hecho más que aumentar la superficie de ataque corporativa para muchas empresas, ofreciendo más oportunidades para que los actores de las amenazas hagan lo peor.

Con este telón de fondo, hemos encuestado recientemente a más de 5.300 responsables de la toma de decisiones en materia de TI y negocios de organizaciones globales para comprender mejor cómo la fricción entre ambas partes está perjudicando a los negocios.

Los resultados fueron sorprendentemente inequívocos. Revelaron una percepción entre los responsables de TI de que la alta gerencia es ignorante y apática hacia el riesgo de seguridad. Es una dinámica que incluso obliga a los jefes de TI a autocensurarse ante sus juntas directivas por miedo a parecer demasiado negativos o repetitivos. Llama la atención que el 90% de los responsables de la toma de decisiones de TI afirma que su empresa estaría dispuesta a comprometer la ciberseguridad en favor de la transformación digital, la productividad u otros objetivos, así como que solo el 50% de los responsables de TI cree que los directivos entienden completamente los riesgos cibernéticos.

El camino para mejorar las relaciones entre el departamento de TI y los consejos de administración es, por tanto, bastante claro: los altos directivos deben llegar a apreciar lo cibernético como un riesgo empresarial intrínsecamente importante. Desgraciadamente, y según está la situación, la mayoría cree que la única manera de que los consejos de administración se den cuenta y tomen nota de lo cibernético es si hay una brecha o si los clientes lo exigen. Las organizaciones deben ser más proactivas que todo esto si quieren evitar un incidente grave.

La clave está en la seguridad por diseño, un principio de buenas prácticas que obliga a incorporar lo cibernético en todo lo que hace una organización, desde la formación del personal hasta el desarrollo de nuevos productos y servicios. Una forma modificada, la protección de datos por diseño, es también un principio fundamental del GDPR. La idea es que cambiando la conciencia y el comportamiento de los usuarios y adaptando los procesos empresariales, se puede impulsar una cultura que dé prioridad a la seguridad y que se refuerce a sí misma: las buenas prácticas engendran buenas prácticas.

Para conseguirlo, es necesario que los altos cargos lo acepten, lo que significa que las cosas deben cambiar en el ámbito de las TI y de la empresa. Un cambio cultural de este tipo no es rápido ni fácil. Pero es esencial en el panorama actual de amenazas y riesgos.