Adiós a la culpabilización del CISO: la era de la responsabilidad corporativa ya está aquí

Por Andre Troskie, EMEA Field CISO de Veeam

 

Los consejos de administración deben ser formados en materia de ciberseguridad, ya que ahora pueden ser considerados responsables de cualquier incidente que ocurra bajo su supervisión y podrían llegar a enfrentarse a multas, además de sanciones a la empresa en caso de incumplimiento.

A pesar de esto, la conciencia sobre la responsabilidad corporativa sigue siendo demasiado baja. No significa que no exista un compromiso, sin embargo, los altos ejecutivos no están avanzando lo suficientemente rápido. No sirve de nada estar al tanto de un concepto si no se toman medidas. Solo en la región de EMEA, el 95% de las organizaciones han reasignado presupuestos de otros recursos para cumplir con las normativas. Por lo tanto, la urgencia está presente, pero la acción por parte de la alta dirección aún no ha alcanzado el nivel necesario. ¿Qué deben cambiar para ponerse al día?

 

Cambio de prioridades

NIS2 y DORA han establecido una nueva era de responsabilidad corporativa, incorporándose en las normativas de una manera sin precedentes en el ámbito de la ciberseguridad. En las últimas décadas, casi todas las funciones empresariales se han digitalizado, dando lugar a un crecimiento exponencial de datos que las organizaciones no solo deben gestionar, sino, proteger. La ciberseguridad se ha convertido en una prioridad empresarial, tan importante como cualquier aspecto comercial, por lo que, naturalmente, debe ser una cuestión importante para el equipo ejecutivo.

Estas normativas simplemente formalizan lo que ya debería estar ocurriendo en las empresas. Sin embargo, en muchas ocasiones, la ciberseguridad y la resiliencia aún se dejan de lado. Históricamente, la alta dirección ha delegado la ciberseguridad en los equipos de seguridad, lo cual es comprensible. En ocasiones, su valor comercial puede ser difícil de percibir. Sin embargo, ser más resiliente y capaz de recuperarse rápidamente minimizará el daño de los precios de las acciones, los ingresos y la confianza de los clientes. A medida que los altos ejecutivos estén más y mejor educados sobre este asunto gracias a estas regulaciones, estos beneficios a largo plazo deberían ayudar a cambiar las prioridades, unido a la presión adicional del incumplimiento normativo.

Si bien estas presiones han incrementado la aceptación de la responsabilidad corporativa por parte de los ejecutivos, la implicación práctica aún no está al nivel necesario. La mayoría de las organizaciones de la región de EMEA han reasignado presupuestos para cumplir con NIS2, lo que indica que comprenden la necesidad del cumplimiento, pero la alta dirección todavía carece de una estrategia coordinada para alcanzarlo. Parte de esto se debe a la pronunciada curva de aprendizaje que enfrentan muchos ejecutivos. La ciberseguridad no es un desafío menor. Para comprenderla adecuadamente, deberán involucrarse a fondo.

 

Dando el salto

Adquirir experiencia directa en los planes de respuesta a incidentes de una organización es esencial para que los ejecutivos comprendan realmente sus responsabilidades en esta nueva era de responsabilidad corporativa. Las mismas regulaciones que lo exigen también requieren un cumplimiento continuo, no simplemente un proceso de "marcar una casilla y olvidarse". Los altos ejecutivos deberán demostrar que los planes de respuesta a incidentes de su organización funcionan en el mundo real, mediante pruebas de escenarios constantes y rigurosas. No es algo que los ejecutivos puedan simplemente memorizar y repetir cuando sea necesario; deben interiorizarlo y aplicarlo de manera práctica.

Estas normativas no requieren que los ejecutivos se conviertan en expertos en ciberseguridad, pero sí deben conocer a la perfección sus planes de respuesta a incidentes. Pensemos en la seguridad como ejemplo. Un alto ejecutivo no necesita conocer en detalle el funcionamiento de los sistemas de alarma contra incendios; solo necesita saber que existen, que funcionan y quién es responsable de su mantenimiento. No es su responsabilidad ser el experto en seguridad contra incendios, sino saber quién lo es, quiénes son sus sustitutos y asegurarse de que se realicen los simulacros necesarios para estar adecuadamente preparados.

Los planes de respuesta a incidentes de ciberseguridad siguen una filosofía similar, y el cumplimiento de NIS2 y DORA depende de su solidez. Ahí es donde los equipos ejecutivos deben centrar sus esfuerzos. Con un conocimiento práctico de estos planes, los ejecutivos pueden identificar y abordar sus puntos débiles, ya sea mediante la implementación de nuevos procesos o incorporando nuevas habilidades externas a su equipo.

 

Con la mirada puesta en el futuro

Así como estas regulaciones exigen cumplimiento continuo y pruebas frecuentes ante escenarios, el panorama de la ciberseguridad también lo requiere. Las vulnerabilidades y superficies de ataque cambian a diario, y los planes deben adaptarse a este ritmo. Aprovechar los requisitos de estas regulaciones no solo como una obligación, sino como una oportunidad para desarrollar una cultura verdaderamente consciente de la seguridad y resiliente ante los datos, es una oportunidad que los ejecutivos no pueden permitirse perder.

Se puede cumplir con todas las normativas, pero es imposible alcanzar una seguridad del 100%. Sin resiliencia de datos y salvaguardas como copias de seguridad, la alta dirección no podrá recuperarse después de una brecha, sin importar cuán estrictamente haya cumplido con las regulaciones.