La responsabilidad por los riesgos cibernéticos se expandirá más allá de TI

Recomendados:  El nuevo paradigma de seguridad para entornos SDWAN Webinar Nuevas reglas de seguridad para aplicaciones web y API Leer

Los líderes de seguridad y gestión de riesgos (SRM) ahora invierten significativamente más esfuerzo en evaluar e influir en la ciberseguridad de proveedores externos. Mientras tanto, los empleados están tomando más decisiones con implicaciones de riesgo cibernético, y se están estableciendo comités ejecutivos fuera del alcance del líder de ciberseguridad. Los analistas de Gartner prevén que estos factores conducirán a un entorno en el que el líder de ciberseguridad tendrá menos control directo sobre muchas de las decisiones que caerían bajo su alcance hoy en día.

"Los líderes de ciberseguridad están agotados, sobrecargados de trabajo y en modo ‘siempre activo’", señala Sam Olyaei, director de investigación de Gartner. "Este es un reflejo directo de cuán elástico se ha vuelto su papel en la última década debido a la creciente desalineación de las expectativas de las partes interesadas dentro de sus organizaciones".

El 88% de las juntas consideran la ciberseguridad como un riesgo empresarial en lugar de solo un problema técnico de TI, según una encuesta reciente de Gartner. El 13% ha respondido instituyendo comités de la junta específicos de ciberseguridad supervisados por un director dedicado. Gartner predice que al menos el 50% de los ejecutivos de nivel C tendrán requisitos de rendimiento relacionados con el riesgo de ciberseguridad incorporados en sus contratos de trabajo para 2026.

"El rol de CISO debe evolucionar de ser la persona responsable 'de facto' para tratar los riesgos cibernéticos, a ser responsable de garantizar que los líderes empresariales tengan las capacidades y el conocimiento necesarios para tomar decisiones informadas y de alta calidad sobre el riesgo de la información", comenta Olyaei.

El interés de los inversores, la presión pública, las demandas de los empleados y las regulaciones gubernamentales están fortaleciendo los incentivos para que las organizaciones adopten los objetivos y métricas de ciberseguridad dentro de sus esfuerzos ambientales, sociales y de gobernanza (ESG) como un requisito de negocio. Como resultado, Gartner predice que el 30% de las grandes organizaciones tendrán objetivos ESG compartidos públicamente centrados en la ciberseguridad para 2026, frente a menos del 2% en 2021.

Los líderes de SRM tendrán que demostrar cada vez más un compromiso organizacional para reducir los problemas sociales que pueden surgir de los incidentes de ciberseguridad, como las brechas de datos de la información personal del cliente; posibles problemas de seguridad derivados del uso de sistemas ciberfísicos; potencial de uso indebido y abuso dentro de sus productos; y la ciberactividad maliciosa contra infraestructuras críticas.