Es probable que no del todo. Al menos, desde Kaspersky se apunta, tras llevar a cabo un estudio al respecto, que uno de cada cinco altos ejecutivos no reconoce su falta de comprensión cuando se debaten aspectos relacionados con la ciberseguridad. Más aún, casi dos de cada 10 directivos españoles no se sentirían cómodos reconociéndolo, un 18%.
El primer paso para resolver un problema es reconocerlo, dice el sabio refranero nacional. Y no parece que éste sea el caso. Desde PwC se añade que es una norma en cualquier empresa que la ciberseguridad se tenga en cuenta en las decisiones comerciales, a pesar de que más de la mitad de los ejecutivos no están seguros de que los gastos en este área se destinen a los riesgos más importantes para la organización.
Dificultades evidentes
El trabajo desarrollado por Kaspersky identifica las dificultades de los altos ejecutivos para comprender a sus homólogos del departamento de TI, y no siempre están preparados para reconocer su falta de conocimiento. Si nos centramos en España, el 18% de los directivos que no pertenecen al departamento de TI asegura que no se sentirían cómodos al reconocer que no entienden algo durante una reunión, tanto con el departamento de TI como con el departamento de ciberseguridad de TI. Así, la mayoría de ellos oculta su confusión y decide aclararlo todo después de la reunión, bien preguntando, bien haciéndolo por sí mismos. En concreto, el 33% no hace preguntas porque considera que sus compañeros de TI no pueden explicarlo de una forma clara. Además, la mitad no quiere que el resto del equipo se dé cuenta de que no lo entiende y un 44% prefiere consultar sus dudas con otra persona que no esté presente en la reunión.
A pesar de que todos los directivos encuestados hablan regularmente sobre problemas relacionados con la ciberseguridad con directores de seguridad de TI, alrededor de uno cada 10 encuestados en España nunca ha oído hablar de amenazas como Botnet (15%), APT (6%) o vulnerabilidades Zero-Day (9%). Términos como Spyware, Malware, Troyanos y Phishing son más familiares para estos altos ejecutivos.
En vez de reconocer el desconocimiento, se trata de evitar para resolverlo por otras vías
La alta dirección que no pertenece al departamento TI no tiene que ser necesariamente experta en conceptos complejos de ciberseguridad. Es algo que deben tener en cuenta los ejecutivos de seguridad TI cuando se comunican con ellos, explica Sergey Zhuykov, arquitecto de Soluciones en Kaspersky. Para establecer una cooperación eficiente, el CISO debe centrar la atención de los altos ejecutivos en los detalles más significativos y explicar con claridad qué hace exactamente la empresa para reducir los riesgos en ciberseguridad. Además, debe mostrar métricas sencillas e inteligibles; se deben ofrecer soluciones en lugar de problemas.
La pregunta queda en el aire: si los altos ejecutivos no se forman en estas cuestiones, ¿cómo piensan proteger sus respectivos negocios?
