27 February, 2012

Peligroso que a las áreas directivas les importe poco la ciberseguridad

Por

San Francisco.- La seguridad IT está condenada a no funcionar si al director general, al de finanzas, al de recursos humanos y al resto de los ejecutivos de la organización les importa poco o nada.

El problema es que eso es justo lo que está sucediendo, al menos de acuerdo con los resultados publicados en el reporte Governance of Enterprise Security del Carnegie Mellon CyLab, donde 7 de cada 10 directivos de negocio reconocieron que “rara vez” o “nunca” revisan las políticas, programas  de privacidad y ciberseguridad de la organización.

Y los datos empeoran, pues 74% de los ejecutivos de negocio, fuera del área IT,  “rara vez” o “nunca” revisan las responsabilidades y roles de sus empleados en torno a los temas de privacidad y riesgo de negocio.

Poco más de 6 de cada 10 CEO tampoco revisan ni verifican los presupuestos anuales dedicados a mitigar los problemas de privacidad, riesgo IT o ciberseguridad del negocio.

“La privacidad y la seguridad son cuestiones de competitividad, y las empresas que establecen un ambiente de trabajo “confianza” también transmiten un mensaje de “negocio de confianza” en el mercado”, dijo Jody Westby, CEO de Global Risk y miembro distinguido Adjunto, Carnegie Mellon CyLab.

La experta dijo que la brecha entre ciberseguridad-privacidad y las áreas ejecutivas  ha sido una constante durante los últimos tres años en lo que se ha realizado el análisis.

“Una gobernanza eficaz aumenta la rentabilidad a través de la mitigación de los riesgos y las pérdidas asociadas con costos de cumplimiento en tiempos donde el delito cibernético y el robo de la propiedad intelectual son un constante diaria y global”, dijo Westby.

El análisis fue presentado en el marco del RSA Conference y patrocinado por la división de seguridad de EMC, RSA, firma que hace poco menos de un año ocupó las primeras planas de diarios y sitios Web en todo el mundo, luego sufrir uno de los ciberataques más notorios de los últimos cinco años.

Pese a las críticas que RSA ha sufrido desde el incidente, para Westby el interés de la firma en  el estudio representa “un ejemplo del esfuerzo que la compañía está realizando para educar al resto de las organizaciones en un ambiente cada vez más complejo”.

“Los medios y muchas empresas tienen la idea erronea de que la empresas de ciberseguridad son las reponsables de proteger sus datos y propiedad intelectual. Sin embargo, los verdaderos responsables son las mismas organizaciones, son sus datos y son ellos quienes tiene que buscar las mejores herramientas y procesos para protegerlos”, afirmó Westby.

También está es la primera vez que el Carnegie Mellon CyLab realiza el estudio a nivel global, basándose en la lista de las 2,000 empresas más grandes del mundo de Fortune. Sin embargo, Westby reconoció que en América Latina la participación ha sido baja, por lo que no espera obtener un análisis profundo y detallado del estado de la ciberseguridad y la privacidad en la región.

“Es urgente que los ejecutivo se involucren con temas de privacidad, protección de dato, presupuestos de ciberseguridad y programas de riesgos IT. Si la dirección no se involucra el resto de las áreas no verán el tema como una prioridad”, sentenció.

Westby también advirtió sobre la necesidad de que todas las organizaciones creen y verifiquen las responsabilidades del Chief Security Officer y las del Chief Privacy Officer, puestos que desde hace varios años dejaron  de ser un valor agregado.

“Contar con CSO, CISO, CPO ya no es un tema de valor agregado. Actualmente poco más del 50% de los entrevistados cuentan con un responsable de ciberseguridad, pero para una empresa del Fortune 2,000 debería ser un requisito de negocio tener esta figura dentro de su organigrama”, afirmó.

No todo esta perdido

Pese a la falta de vinculación entre la dirección general y la ciberseguridad, existen señales de progreso, según lo expuesto por el análisis. Por ejemplo, en 2008 únicamente 8% de los negocios consultados contaban con  un Comité general de Riesgos, para 2012 a cifra aumentó a 46%.

De igual forma, hace tres años sólo 17% de las empresas contaban con  varios grupos, a lo largo de toda la organización, responsables de difundir, manejar y trabajar con temas de ciberseguridad, hoy más de 70% cuenta con este tipo de grupos de trabajo.