El 93% de las organizaciones intenta reducir el riesgo de responsabilidad del CISO
- Actualidad
Según el último estudio de ciberseguridad de Fastly, casi la mitad de las organizaciones no tiene claro quién es el responsable último en caso de un incidente de ciberseguridad, al mismo tiempo que la mayor parte de ellas se está replanteando el reparto de responsabilidades para reducir el riesgo al que está expuesto el CISO.
Fastly ha publicado hoy el informe “La ciberseguridad en la encrucijada”, en el que analiza el estado de la ciberseguridad a nivel mundial a través de una encuesta a 1.800 responsables de TI de todo el mundo “con influencia en la ciberseguridad”. Hemos tenido ocasión de hablar con Marshall Erwin, CISO de Fastly, de los resultados de la encuesta y de su visión del sector de la ciberseguridad.
Uno de los detalles que más llama la atención del informe es que el 46% de las organizaciones no sabe quién es el responsable último si sufren un incidente de ciberseguridad. No es baladí esa falta de certeza, en un momento en que tanto las normas de la SEC en torno al reporting de ciberseguridad como el marco de ciberseguridad europeo, con DORA y NIS2, tienen en cuenta no solo la responsabilidad de la empresa por no haber tomado las medidas adecuadas de protección, sino también la de sus directivos. Así, el 93% de las organizaciones intenta reducir el riesgo de responsabilidad del más señalado, el CISO.
Marshall Erwin, CISO de Fastly, explica que “los CISO no toman la decisión final en cada cuestión. Cuando se trata de riesgos de seguridad, la pregunta que una junta directiva debería hacerse es: ‘¿Estamos alineando el presupuesto con los riesgos que el CISO nos ha comunicado?’ Aquí es donde debe empezar la rendición de cuentas: en la alta dirección, con una comunicación clara y una asignación adecuada de recursos”.
La evolución del rol del CISO
Para reducir el riesgo de la responsabilidad del CISO, el 41% de los encuestados españoles realizará un "mayor escrutinio de la documentación de divulgación de seguridad por parte de los organismos supervisores“, mientras que un 37% explica que ha mejorado el apoyo legal que tiene el CISO con entre otras cosas seguros de responsabilidad.
La encuesta confirma además la evolución del rol del CISO dentro de las organizaciones: a nivel global, el 41% de ellas ha incrementado su participación en las decisiones estratégica, incluso a nivel de junta directiva (algo menos en España, un 39%). Otros datos del estudio de Fastly ofrecen algunos motivos de este cambio, como que el 23% de los encuestados haya sufrido pérdidas de ingresos por incidentes de ciberseguridad o el tiempo medio de recuperación es de 7,34 meses, un 25% más de lo esperado por las propias organizaciones.
Para Marshall Erwin, “es alentador ver que la gran mayoría de las empresas están introduciendo cambios en la divulgación de responsabilidades, especialmente ante la inevitabilidad de una nueva interrupción global que volverá a poner el foco en la responsabilidad de los CISO. Sin embargo, aunque la inversión en protección jurídica es un paso importante, a menudo se centra más en proteger a las organizaciones del riesgo legal que en fomentar una verdadera rendición de cuentas que impulse mejores prácticas de seguridad”.
