Para fortalecer efectivamente la seguridad de la empresa digital sin abrumarla con una profusión de dispositivos técnicos y procedimientos restrictivos, es esencial que la solución sea proporcional a la probabilidad y el alcance de los posibles daños. En otras palabras, pasar de la noción absoluta de seguridad a la noción relativa de riesgo. Otra ventaja clave del riesgo es que se puede evaluar en términos de su probabilidad e impacto en la empresa y, por lo tanto, elimina la dimensión técnica en la que la ciberseguridad se limita con demasiada frecuencia. Traducida a riesgos, la seguridad informática ya no es una restricción oscura y costosa, sino un elemento de gestión objetivo. La adopción de un enfoque basado en el riesgo permite aclarar los posibles impactos en el negocio. Entonces, lo que está en juego se vuelve comprensible para todos, medible y comparable,
Para casi todos los encuestados (92,2 %), un marco de riesgo ya guía las decisiones de inversión basadas en el riesgo. En concreto, el 81,4% de las empresas encuestadas cree que su enfoque de la ciberseguridad ya está alineado con esta política de gestión de riesgos.
- ¿Su organización incorpora el modelado de riesgos y la gestión de riesgos en su planificación estratégica? ¡Sí! 92,2 %
- ¿La estrategia de ciberseguridad de su organización refleja la estrategia de gestión de riesgos empresariales? ¡Sí! 81,4 %
Sin embargo, como hemos visto, las restricciones presupuestarias y la escasez de habilidades siguen siendo
obstáculos permanentes para mejorar la seguridad. Es sorprendente que las empresas
puedan afirmar ser tan conscientes del riesgo pero que parezca tan difícil movilizar los
recursos necesarios. Las diferencias entre los distintos perfiles encuestados sobre
los beneficios que esperan de la seguridad o su percepción de la
realidad operativa también sugieren que el riesgo cibernético no se entiende tan bien como algunos creen.
Por ejemplo, los responsables de la toma de decisiones empresariales están convencidos de que la ciberseguridad se
tiene en cuenta principalmente en las primeras etapas de un proyecto, mientras que los
responsables de TI y seguridad son muy conscientes de que no es así.
¿Hasta qué punto la seguridad de TI está integrada en las nuevas
iniciativas comerciales de su organización?
La brecha entre lo que los perfiles esperan de la confianza digital que puede generar la ciberseguridad es particularmente esclarecedora porque destaca tres actitudes distintas hacia la ciberseguridad. De cara al futuro, los responsables de la toma de decisiones empresariales anticipan, tal vez un poco precipitadamente, que un entorno de confianza les permitirá hacer crecer su negocio dentro de un ecosistema de clientes y socios. Facilitadores por naturaleza, los CISO ven la seguridad como una palanca para las iniciativas digitales. Finalmente, los CIO pragmáticos nos recuerdan la necesidad de alinear Seguridad y Negocio, y consideran el riesgo como el medio para lograrlo.
¿Cuál considera que es el resultado comercial más crítico que respalda la seguridad para establecer la confianza digital?
Negocios
Asegurar la reputación digital como un requisito para los socios y clientes que se involucran en relaciones digitales
TI
Alineación de la seguridad y el negocio, contextualizado en función del riesgo
Seguridad
Permitir amplias iniciativas de transformación digital
Estas diferencias de evaluación reflejan la falta de madurez ya observada y, por lo tanto, se puede sospechar que las empresas se hacen la ilusión de que están integrando el riesgo cibernético en sus políticas de gestión de riesgos.
