Video: Ciberseguridad para la empresa (1/4) (Noviembre 2024)
Cuando se trata de seguridad, los CEO no tienen idea de lo que sucede dentro de sus organizaciones. Así que encontré un informe del Instituto Ponemon publicado esta semana que examinó cómo las organizaciones se prepararon y respondieron a incidentes de seguridad. Un 80 por ciento de los encuestados dijeron que no se "comunicaban con frecuencia" con la gerencia ejecutiva sobre posibles ataques cibernéticos que amenazaban a la organización. Esto se extiende más allá del CEO y abarca todo el C-suite (CIO, CSO, COO, CTO, etc.).
Fue sorprendente que "la información simplemente no llegue a la C-suite", dijo Mike Security, presidente y CEO de Lancope, a Security Watch. "Hablamos de estas cosas todo el tiempo", agregó.
Las compañías están gastando millones de dólares en productos y servicios de seguridad y todavía se violan, según Lancope, quien encargó el estudio. De hecho, Gartner dijo que se gastaron $ 67 mil millones en productos de seguridad de TI a nivel mundial en 2013. Sin embargo, cada año se roban $ 250 mil millones en propiedad intelectual a las empresas. ¿Dónde está la desconexión?
No hay actualizaciones regulares
Muchos ejecutivos pueden mirar todo el gasto en seguridad y pensar: "Tengo todo esto, ya terminé", dijo Potts. Si no reciben actualizaciones periódicas e información sobre la postura de seguridad general de la organización, entonces no hay razón para revisar esa opinión. Pero no es así como debería ser. "El escenario actual no es 'establecer y olvidar'", dijo Potts.
Si bien la encuesta no preguntó por qué el personal de TI no planteaba los problemas con el C-suite, Potts sugirió que el problema podría estar relacionado con la forma en que se mide la seguridad dentro de la organización. La mitad de los encuestados dijeron que no tenían métricas para medir la efectividad de sus capacidades de respuesta a incidentes. Esto significa que no pueden traducir las amenazas y los problemas al lenguaje que los altos ejecutivos, preocupados por el negocio en general, pueden entender o trabajar.
También es muy probable que incluso si las discusiones sobre seguridad ocurrieran, los ejecutivos recibieran una versión muy "diluida" de los problemas, dijo Potts.
"Ahora es el momento para que los ejecutivos de nivel C y los tomadores de decisiones de TI se reúnan y desarrollen planes más sólidos y más completos para la respuesta a incidentes. Esta comunicación es crítica si queremos reducir la sorprendente frecuencia de violaciones de datos de alto perfil y daños corporativos pérdidas que estamos viendo en los medios casi a diario ", dijo Potts.
El dinero importa
Parte del problema es un problema de inversión. La mitad de los encuestados en la encuesta dijo que menos del 10 por ciento de su presupuesto general de seguridad está destinado a la respuesta a incidentes, y a pesar del ritmo creciente de ataques y amenazas, la mayoría dijo que no han aumentado esa asignación en los últimos dos años.
Que tiene sentido. Si los ejecutivos de nivel C no se dan cuenta de cuáles son los riesgos y las amenazas, entonces no priorizarán el presupuesto. Si los ejecutivos saben que la pérdida o daño potencial va a ser bastante grande, entonces pueden actuar en consecuencia para cerrar esa brecha. Los ejecutivos necesitan "tener la información correcta para hacer las inversiones correctas", dijo Potts.
Necesidad de cambio
Alrededor del 68 por ciento de los encuestados dijeron que sus organizaciones habían experimentado una violación de datos o algún otro incidente de seguridad en los últimos dos años. De ese grupo, casi la mitad, o 46 por ciento, de los encuestados dijeron que otro incidente era "inminente" y podría ocurrir dentro de los próximos seis meses. Esto es grave, y claramente, el C-suite debería preocuparse y trabajar con TI para asegurarse de que se tomen las medidas necesarias, ¿verdad?
No según la encuesta, porque la mayoría de los 674 profesionales de TI y seguridad en la encuesta afirmaron que no estaban escalando estos problemas o informando a los altos ejecutivos lo que se avecinaba. Hace que te preguntes cuánto sabía el CEO de Target antes de que fuera puesto en el centro de atención nacional y se le pidiera que discutiera la violación, ¿no?
Potts tenía la esperanza de que la violación de datos en Target y otros minoristas actuaría como una llamada de atención para otros. Quizás Target cambiará la forma en que las organizaciones se comunican y "facilitará que el C-suite se informe sobre los problemas de seguridad", dijo Potts.
Click para ver la imagen completa
