lunes, 18 de julio de 2016

CSO y alta dirección tienen compromisos dispares en ciberseguridad

Teniendo en cuenta el daño potencial y colateral a la reputación de una empresa, parecería que una estrategia de seguridad de la información sería una iniciativa corporativa en la cual todos estarían de acuerdo. Sin embargo, sorprendentemente, un estudio global realizado por The Economist Intelligence Unit (EIU), patrocinado por VMware, concluye exactamente lo contrario.

Realizado durante los primeros meses de 2016, el estudio encuestó a 1,100 ejecutivos de alto nivel de empresas con ingresos entre 500 millones y 5 mil millones de dólares respecto a las prácticas de seguridad de datos dentro de sus empresas. La encuesta fue aplicada a ejecutivos de alta dirección, como directores generales, directores financieros y directores de operaciones; y ejecutivos de seguridad, tales como los CIO, directores o jefes de los Servicios de Datos de Seguridad de la Información (CSO).

Principales hallazgos
  • El objetivo principal del estudio fue analizar las diferencias, entre el equipo de seguridad y los ejecutivos de alto nivel cuyos puestos son ajenos al tema. Los resultados revelan una desconexión interesante entre los dos conjuntos de líderes corporativos: existe una gran división en las actitudes que se extiende desde las distintas percepciones del peligro inminente de las amenazas informáticas hasta las prioridades del presupuesto. Entre los resultados del estudio de la EIU destacan:
  • Que los altos ejecutivos corporativos y los del área de Seguridad no comparten el mismo compromiso sobre la ciberseguridad, siendo ésta la prioridad número uno para éstos, pero sólo el número nueve de aquéllos.
  • Que la alta dirección se centra en las implicaciones estratégicas de la ciberseguridad, principalmente en el impacto de un ataque en la reputación o marca de la empresa. Por su parte, la función del área de Seguridad toma un enfoque táctico en los activos como datos de los clientes, información regulada, aplicaciones, etc.
  • Más del 30% de los profesionales de seguridad esperan un ataque importante y exitoso en la empresa dentro de los próximos 90 días, mientras que sólo el 12% de los altos ejecutivos comparten ese sentido de urgencia.
  • Una de las áreas en las que ambos segmentos están de acuerdo es en el origen de las amenazas futuras. Por ello, su preocupación se enfoca hacia las tecnologías como la nube y BYOD, que actúan como puntos de entrada para amenazas desconocidas.