[22/07/2024] Ivanti ha publicado su último informe de investigación titulado Aligning Perspectives: Cyber Risk Management in the C-Suite, que detalla la necesidad de que los CISO comuniquen eficazmente el riesgo a la cadena de mando.
"Las amenazas cibernéticas están avanzando rápidamente en tamaño y sofisticación, en gran parte debido a la rápida evolución de la tecnología, la creciente sofisticación de los atacantes cibernéticos y la expansión de las superficies de ataque a través de sistemas y dispositivos interconectados. El 95% de los profesionales de TI y seguridad creen que las amenazas de seguridad serán más peligrosas debido a la IA; sin embargo, a pesar de ese riesgo elevado, casi uno de cada tres profesionales de seguridad y TI no tiene una estrategia documentada para abordar los riesgos generativos de IA. En el entorno actual, los CISO desempeñan un papel aún más crítico en la organización, ya que muchas de las decisiones que tomen afectarán a la empresa en su conjunto”, comentó Mike Riemer, CISO de campo de Ivanti, en el comunicado de prensa.
Entre las principales conclusiones del informe se incluyen las siguientes:
- Los líderes (fuera de TI) son demasiado confiados: Aunque el 60% de los líderes que no son de TI informan estar "muy" o "extremadamente confiados" en la capacidad de su organización para prevenir o detener un incidente de seguridad dañino en los próximos 12 meses, solo el 46% de los profesionales de TI comparten ese nivel de confianza. "Esta brecha sugiere que los líderes fuera de TI pueden no comprender realmente los riesgos que plantean las crecientes y cada vez más agresivas amenazas de ciberseguridad”, anotó el ejecutivo.
- La gestión de vulnerabilidades es malentendida: El 55% de los profesionales de TI y seguridad afirman que los que no son líderes de TI no entienden completamente la gestión de vulnerabilidades, y los que no son líderes de TI están de acuerdo en gran medida: el 47% afirma que no tiene una comprensión de alto nivel de la gestión de vulnerabilidades. "Cuando los líderes no entienden la gestión de vulnerabilidades, es posible que no se den cuenta de cómo los cambios en las prioridades de liderazgo pueden afectar a la seguridad de su organización. De hecho, más de uno de cada cuatro profesionales de TI afirma que la gestión de parches se ve socavada por los cambios en las prioridades de liderazgo”, sostuvo Riemer.
- El liderazgo y la seguridad tienen perspectivas desalineadas sobre el riesgo cibernético: Es más probable que los ejecutivos ajenos a TI se centren en los impactos financieros, legales y de reputación que sus homólogos de TI y seguridad. Por ejemplo, el 24% de los líderes ejecutivos califican el impacto reputacional de los riesgos cibernéticos como "alto", en comparación con solo el 15% de los CISO.
"El papel del CISO es comunicar de manera efectiva el verdadero riesgo al que se enfrenta su organización y comprender cómo los diferentes tipos de incidentes de seguridad pueden afectar a la organización, ahora más que nunca. El panorama de amenazas es cada vez más volátil e impredecible, y los CISO tienen la tarea de permitir que los empleados sigan siendo productivos y seguros. El éxito de la organización CISO es imperativo para garantizar el éxito de toda la organización, lo que explica por qué la ciberseguridad se ha elevado a ser una discusión a nivel de la junta directiva", finalizó Riemer.
El informe describe cómo los CISO pueden cuantificar de manera efectiva los impactos de los eventos de seguridad en otras funciones comerciales, utilizar la gestión de vulnerabilidades para administrar de manera efectiva el riesgo de ciberseguridad de su organización y lograr la aceptación a largo plazo de los ejecutivos de nivel C para la visión del CISO.
Franca Cavassa, CTOPerú