La falta de comunicación entre directivos y el área TI debilita la ciberseguridad

Según la encuesta, la mayoría de los empleados de TI asegura que la reducción de presupuesto en seguridad cibernética tiene como principal causa que la dirección no ve ninguna razón de peso para hacerlo. Kaspersky realizó una encuesta específica para determinar si esta situación viene derivada de una comunicación poco clara entre el personal de seguridad IT y los altos ejecutivos.

El estudio revela que, en España, casi la mitad de los altos directivos (43%) considera que los empleados de seguridad TI deben comunicar mejor los riesgos para la empresa. Por su parte, el 7% de los empleados dedicados a la seguridad informática admiten dificultades para explicar su trabajo a compañeros de fuera del departamento y altos ejecutivos.

En cuanto a los temas más complicados a debatir cuando los ejecutivos de nivel C hablan con los empleados de TI en nuestro país, destacan la evaluación del desempeño del equipo de seguridad de TI (31%), los cambios en el equipo seguridad TI (30%) y la adopción de nuevas soluciones de seguridad (28%).

Por su parte, para los trabajadores de TI en España lo más complicado cuando se sientan con directivos de fuera del departamento es negociar el aumento del presupuesto en seguridad TI (48%), contratar profesionales para el equipo de seguridad TI (35%) e incrementar la concienciación en ciberseguridad de la plantilla (30%).

La mayoría de los encuestados está de acuerdo en que la manera más eficaz de simplificar los debates sobre seguridad TI es elegir ejemplos de la vida real y utilizar informes y cifras. Los ejecutivos de nivel C manifestaron que poner ejemplos reales (47%) o experiencias previas (38%) les ayudaría a entender mejor al personal de seguridad TI.

“Los ejecutivos que no pertenecen al departamento TI tienen dificultades para hablar de la adopción de nuevas soluciones de seguridad por la gran cantidad de términos y conceptos técnicos que utilizan los empleados de ciberseguridad. Estos últimos reconocen que no les gusta hablar del aumento de presupuestos porque los ejecutivos de nivel C esperan que se utilicen métricas comerciales para justificar sus necesidades”, asegura Ivan Vassunov, vicepresidente de productos corporativos de Kaspersky. “Hoy en día, con un entorno económico difícil y un panorama de amenazas complicado, el entendimiento mutuo es más importante que nunca para la continuidad del negocio. Para evitar más riesgos en ciberseguridad es crucial que ambos equipos hablen un lenguaje común, basado en números, referencias de confianza y argumentos comprensibles”.

Para hacer la comunicación más sencilla y transparente entre las áreas de seguridad IT y negocio, Kaspersky recomienda:

• Dedicar las inversiones en ciberseguridad a herramientas de comprobada eficacia y presentar las nuevas tendencias en seguridad (SASE, XDR, Zero Trust) a la junta directiva como proyectos de inversión con un ROI calculado. En el caso de XDR (Extended Detection and Response) y SASE (Secure Access Service Edge) se debe trasladar el mensaje de que son tecnologías que reducen la carga del departamento de seguridad TI, al tiempo que mejoran la ciberseguridad en la empresa, ya que se automatizan y centralizan procesos.
• Se deben utilizar recursos como la calculadora de seguridad TI e informes basados en la opinión de expertos con información estructurada sobre amenazas y las medidas de seguridad más relevantes para su sector de actividad y tamaño de empresa, con el fin de conocer con precisión los riesgos y las medidas de seguridad requeridas.
• Adquirir conocimientos adicionales para comprender mejor a los profesionales de otras áreas de actividad. Los directivos que no pertenecen al departamento IT comprenderán mejor los desafíos que implica la seguridad si se ponen en el lugar del CISO.

El informe completo y más información sobre los problemas de comunicación entre los directivos de nivel C y TI está disponible en este enlace.