Lectura oscura | Seguridad | Proteja el negocio



A pesar de la creciente preocupación por las filtraciones de datos y la creciente sofisticación del panorama de amenazas, la alta dirección de la mayoría de las organizaciones todavía no parece ver la ciberseguridad como una función crítica para el negocio.

Una encuesta de 1.426 profesionales de seguridad realizada recientemente por el Ponemon Institute for LogRhythm encontró que solo el 7% de las organizaciones representadas en la encuesta tenían líderes de seguridad que reportaban directamente al CEO. El 93% restante tiene sus líderes de seguridad reportando a otros ejecutivos, incluido el director de información (24%), director o gerente de TI (19%), director de tecnología (12%), vicepresidente de TI (11%), o director de ingresos (9%).

Lejos de estar cerca del director ejecutivo, la encuesta muestra que el líder de seguridad promedio está, de hecho, a tres niveles del director ejecutivo, lo que hace que sea un desafío para ellos articular claramente los riesgos de seguridad empresarial a los líderes superiores. La mayoría de los líderes de seguridad no tienen una relación directa con el CEO y la junta, a pesar de que tienen una propiedad completa o una influencia significativa sobre los presupuestos de ciberseguridad de sus organizaciones. Los encuestados de la Encuesta LogRhythm / Ponemon informó un presupuesto de seguridad anual de $ 38 millones, o aproximadamente el 24% del presupuesto promedio de TI de su organización de $ 159 millones.

«Los líderes de ciberseguridad han asumido más responsabilidad y riesgo, pero luchan por lograr la posición de seguridad deseada porque no son tan influyentes como otros miembros de su grupo de pares», dice Mark Logan, director ejecutivo de LogRhythm.

Al entrar en la encuesta, LogRhythm esperaba encontrar que muchos directores ejecutivos aún no reconocían la importancia de la función de ciberseguridad, dice Logan. Aun así, el hecho de que solo el 7% de los líderes de seguridad reporten directamente al CEO fue sorprendente, dice.

«Ese es un porcentaje extremadamente bajo considerando que la ciberseguridad es una función comercial crítica», dice.

El problema de que la alta dirección no preste suficiente atención a la función de ciberseguridad y a los CISO / OSC ha sido una cuestión de larga knowledge. Los expertos en seguridad han notado durante mucho tiempo cómo la alta gerencia y las juntas directivas a menudo han tendido a ver la ciberseguridad como un centro de costos y una operación táctica de extinción de incendios en lugar de como un habilitador comercial estratégico. Los propios líderes de seguridad a menudo han asumido la culpa de ser demasiado técnicos e incapaces de articular los desafíos de seguridad al C-suite en términos de riesgo empresarial y gestión de riesgos.

El informe LogRhythm / Ponemon muestra que la estructura de informes real para los CISO y las OSC en la mayoría de las organizaciones está haciendo poco para aliviar la situación. Solo el 37% de los encuestados, por ejemplo, dijeron que ellos o alguien dentro de la función de seguridad informa a la junta sobre asuntos de ciberseguridad. De este número, el 41% dijo que informa a la junta solo cuando ocurre un incidente de seguridad, y el 13% dijo que informa a la junta solo una vez al año. Solo el 30% de los encuestados dijo que alguien de la función de seguridad informa a la junta trimestralmente. Si bien las interrupciones en el lugar de trabajo relacionadas con la pandemia de COVID-19 han elevado significativamente los riesgos de seguridad en la mayoría de las organizaciones, el 63% de los encuestados dijeron que no habían informado a la junta sobre estos riesgos.

«Por lo tanto, el nivel de conciencia de la junta directiva sobre el estado de seguridad dentro de una organización debe ser notablemente bajo», dice Logan. «El liderazgo no solo no tiene una imagen clara del programa y los riesgos, sino que el riesgo también se amplifica debido a esta falta de visibilidad ejecutiva en lo que respecta a la planificación estratégica y el presupuesto».

El impacto de filtrado
Una de las razones por las que los líderes de seguridad aún no reciben suficiente atención en la suite C es la falta continua de comprensión sobre su papel entre los líderes superiores. Logan describe la situación como resultado de una especie de «filtrado» que se produce cuando se informa al director ejecutivo sobre problemas de seguridad a través de varias capas.

«Por ejemplo, digamos que un CSO reporta a un CIO, quien luego reporta al CFO», dice. «El director financiero sería el que, en última instancia, transmitiera el mensaje al director ejecutivo».

Este tipo de estructura de informes puede crear cuellos de botella y resultar en menos apoyo presupuestario y organizacional porque el mensaje de seguridad puede diluirse a través de los canales de comunicación prolongados, dice.

Sin embargo, de manera significativa, la mayoría de los CISO y otros líderes de seguridad no tienen acceso directo al CEO y, por lo tanto, tienen una capacidad limitada para realizar cambios significativos, pero es possible que caigan en la caída si algo sale mal. Cuando se preguntó a los encuestados quién debería ser responsable de un ciberataque, el 42% señaló al líder de seguridad en comparación con el 15% que sintió que la responsabilidad se detiene con el CEO.

El informe muestra que las actitudes de los líderes hacia la función de ciberseguridad y las estructuras de informes se han mantenido en gran medida estáticas, aunque los riesgos han aumentado considerablemente. El cincuenta y cinco por ciento de los encuestados dijo que sus organizaciones habían experimentado una violación de datos en los últimos dos años. El cambio a una fuerza laboral remota causado por la pandemia ha exacerbado los problemas y ha dejado a la mayoría de las organizaciones sintiéndose más vulnerables a los ataques que antes.

«Para tener éxito en ganar visibilidad e influencia, los líderes de seguridad primero deben comprender a su audiencia, específicamente lo que les importa y cuáles son sus objetivos», señala Logan.

Para disipar las nociones de que la seguridad es un centro de costos, los líderes de seguridad deben conversar sobre la eficiencia de los costos y el impacto en los resultados de la organización.

«Para ser eficaz, el líder de seguridad debe tener un conocimiento profundo de la cultura, los clientes, los modelos, los impulsores y los objetivos generales de la organización», dice.



Enlace a la noticia first