Las amenazas cibernéticas están evolucionando rápidamente en tamaño y sofisticación, impulsadas en gran medida por el avance tecnológico, la creciente habilidad de los atacantes y la expansión de las superficies de ataque a través de sistemas y dispositivos interconectados. Según la investigación de Ivanti, esta situación exige que los CISO (Chief Information Security Officers) pasen de una defensa táctica a un liderazgo estratégico.
Presupuestos Crecientes pero Estrategias Rezagadas
Aunque los presupuestos de ciberseguridad están en aumento, con un 71% de las organizaciones reportando incrementos para 2024, la estrategia y las inversiones en seguridad no están manteniendo el ritmo con la creciente gravedad y omnipresencia de las amenazas. Ivanti destaca que el 95% de los profesionales de TI y seguridad creen que las amenazas serán más peligrosas debido a la inteligencia artificial (IA). Sin embargo, casi un tercio de estos profesionales carece de una estrategia documentada para abordar los riesgos generativos de la IA.
La Gestión de Vulnerabilidades se Entiende Mal
Existe una brecha significativa en la comprensión de la gestión de vulnerabilidades entre los líderes de TI y los no relacionados con TI. Mientras que el 60% de los líderes no relacionados con TI se sienten muy o extremadamente confiados en la capacidad de su organización para prevenir o detener un incidente de seguridad en los próximos 12 meses, solo el 46% de los profesionales de TI comparten ese nivel de confianza. Esta discrepancia sugiere que los líderes fuera del ámbito tecnológico no comprenden completamente los riesgos cibernéticos.
El 55% de los profesionales de TI y seguridad afirman que los líderes no relacionados con TI no comprenden completamente la gestión de vulnerabilidades, y el 47% de estos líderes están de acuerdo con esta afirmación. Esta falta de entendimiento puede llevar a subestimar cómo los cambios en las prioridades de liderazgo pueden afectar la seguridad organizacional. De hecho, más de uno de cada cuatro profesionales de TI afirma que la gestión de parches se ve comprometida por estas prioridades cambiantes.
Diferencias en la Percepción de los Riesgos
Los equipos de seguridad y los líderes fuera de TI tienen puntos de vista divergentes sobre los impactos potenciales de los riesgos cibernéticos. Los ejecutivos no relacionados con TI tienden a centrarse más en los impactos financieros, legales y de reputación. Por ejemplo, el 24% de los líderes ejecutivos califican el impacto reputacional de los riesgos cibernéticos como «alto», en comparación con solo el 15% de los CISO.
La Ciberseguridad en el Nivel Directivo
La investigación de Ivanti muestra que la ciberseguridad ya es un tema de discusión a nivel directivo. El 86% de los encuestados afirma que la gestión del riesgo cibernético se discute en este nivel, y el 84% indica que los CISO son invitados a reuniones estratégicas de alto nivel sobre toma de decisiones comerciales y planificación organizacional.
Para convertirse en actores estratégicos, los líderes de seguridad deben aprender a traducir su conocimiento técnico en prioridades comerciales, abordando los impactos financieros y reputacionales de los ataques, así como las ramificaciones legales y regulatorias de las violaciones de datos.
El Papel Crítico del CISO
Mike Riemer, CISO de campo en Ivanti, señala: «El rol del CISO es comunicar eficazmente el verdadero riesgo que enfrenta su organización y comprender cómo los diferentes tipos de incidentes de seguridad pueden afectar a la organización, ahora más que nunca». Añade que el panorama de amenazas es cada vez más volátil e impredecible, y que los CISO tienen la tarea de permitir que los empleados sigan siendo productivos y seguros. «El éxito de la organización del CISO es imperativo para garantizar el éxito de toda la organización, lo que explica por qué la ciberseguridad se ha convertido en un tema de debate a nivel directivo», concluye Riemer.
En resumen, la transición de los CISO de una defensa táctica a un liderazgo estratégico es esencial para enfrentar las crecientes amenazas cibernéticas de manera eficaz y proteger a las organizaciones en un mundo cada vez más interconectado y tecnológicamente avanzado.
Fuente: Help Net Security
