En un contexto empresarial cada vez más incierto, marcado por tasas de interés altas, tensiones geopolíticas y disrupciones en la cadena de suministro, los líderes de las empresas deben reevaluar sus prioridades. Aunque podría parecer tentador reducir las inversiones y recortar gastos, la ciberseguridad no debería ser una de las áreas a sacrificar. A pesar de que la mayoría de los directores de TI y seguridad son conscientes de la importancia de la ciberseguridad, persiste un notable desajuste en la percepción de su necesidad.
Un reciente estudio revela que solo el 29% de los responsables de seguridad de la información (CISO) creen tener el presupuesto suficiente para alcanzar sus metas de seguridad, mientras que el 41% de los miembros de la junta directiva consideran que los recursos son adecuadamente asignados. Esta brecha es una señal clara de que es urgente una mejor comunicación sobre la gravedad de los riesgos cibernéticos y la necesidad de transformar la conciencia en acciones concretas, especialmente durante el Mes de la Concienciación sobre la Ciberseguridad, que se celebra en octubre.
Las pequeñas y medianas empresas (PYMES) aún enfrentan retos significativos. Aunque ha mejorado el entendimiento sobre la ciberseguridad en niveles directivos, muchas de ellas todavía la consideran un “centro de costos” y no como una necesidad estratégica. Un informe de la Global Technology Industry Association (GTIA) indica que el 46% de las PYMES la clasifica como de «moderada importancia», mientras que el 12% aún opera en modo reactivo, dedicándose a «apagar incendios» en lugar de invertir de manera proactiva en prevenir incidentes.
Para cambiar esta mentalidad, los líderes de seguridad deben articular más claramente cómo la ciberseguridad puede ayudar a la junta a evitar riesgos comerciales críticos y argumentar con firmeza que es un habilitador del negocio. La falta de inversión en ciberseguridad puede resultar en pérdidas significativas. Por ejemplo, M&S estima que una reciente ataque de ransomware podría costarle £300 millones en beneficios operativos, mientras que el grupo UnitedHealth prevé pérdidas cercanas a $2.9 mil millones debido a un ataque en 2024.
Además, las normativas como NIS2 y DORA en la UE demandan que la ciberseguridad sea un programa de gestión de riesgos continuo, supervisado directamente por la alta dirección. Aún así, muchas PYMES no estarán cubiertas por estas regulaciones progresivas. Para convencer a ejecutivos que minimizan el riesgo de un ataque, es crucial apelar a sus instintos empresariales. Una estrategia de ciberseguridad efectiva no solo protege la propiedad intelectual, sino que también puede facilitar la expansión a mercados nuevos y proteger iniciativas de transformación digital.
Si bien hay una creciente conciencia sobre los riesgos financieros y reputacionales que presenta la falta de inversión en ciberseguridad, la comunicación entre los directores de TI y las juntas ejecutivas a menudo no es fluida. Los líderes empresariales suelen ver la ciberseguridad como un problema «de IT», mientras que los CISO, a veces, no logran trasladar el impacto en términos de negocio. Para cerrar esta brecha, es importante que los profesionales de la ciberseguridad planteen las amenazas como riesgos empresariales y presenten métricas alineadas con los objetivos comerciales, utilizando ejemplos del mundo real para resaltar las consecuencias de no actuar.
Construir relaciones personales con miembros de la junta y ofrecer actualizaciones regulares sobre seguridad también son estrategias clave para fomentar una cultura organizacional que valore la ciberseguridad no solo como un gasto, sino como una inversión estratégica esencial para la resiliencia y el valor a largo plazo de la empresa.
Fuente: WeLiveSecurity by eSet.
