Para enfrentar de mejor manera las ciberamenazas, es necesario ser ‘políglotas’ y hablar de ciberseguridad con los directivos ‘en su propio idioma’, coincidieron expertos en el panel ¿Cómo posicionar la ciberseguridad a nivel directivo?, organizado este miércoles 29 de marzo en el marco de la presentación del Reporte CISO Latam 2023.
Consulta: Ciberseguridad es prioritaria para el 83% de las empresas de la AmCham México
Erika Mata, jefa Global de Ciberseguridad de Hitachi Vantara, aseguró que la junta siempre está enterado de las cosas que pasan y dijo que los especialistas en seguridad ‘no hemos sido capaces de responder sus preguntas, no estamos hablando su idioma, no hemos tenido el acercamiento correcto’.
La experta, que cuenta con más de 20 años experiencia en ciberseguridad, principalmente en el sector financiero, dijo que los activos no son sólo tecnología, sino también personas y procesos, y advirtió que tarde o temprano va a ocurrir un incidente, por lo que hay detectarlo y detenerlo lo más rápido posible a través de una cultura de riesgo de la organización.
Mientras que Gerardo Plaza, Field CTO de NetScope, aseguró que el entorno de amenazas ha cambiado: ya no se encuentra dentro del perímetro de la empresa, ya que ahora la mayoría del tráfico está en Internet. Por eso hay que adoptar nuevas tecnologías y, dado que la superficie de ataque es cada vez más grande, el objetivo de NetScope es proporcionar una Nube de seguridad para proteger los datos y los usuarios en la nueva manera en que están llegando los ataques.
Por su parte, la CEO de Business Technology, Alejandra Pineda, expuso que hay distintos niveles de madurez, por lo que hay que realizar análisis de riesgos. Agregó que la agenda está abierta, pero la cuestión es cómo llegar a todos, y a los expertos en seguridad les está faltando averiguar cómo llegar a los directivos en su propio lenguaje.
Expuso que, desde hace varios años, México ocupa el octavo lugar en robo de datos, y alertó que los mayores presupuestos están en las tecnologías y en las áreas de innovación, pero no en la ciberseguridad. Por último, también llamó la atención sobre qué porcentaje de empresas globales traen estrategias de otros países y destacó el papel de la Comunicación y las habilidades blandas en este proceso.
El CTO de Fluid Attacks, Rafael Álvarez, comentó que diversas agencias se han empezado a pronunciar sobre ciberseguridad ahora que hay guías del Foro Económico Mundial (FEM) y, en efecto, esta está posicionada en la mente de los altos directivos, pero está muy poco posicionada.
Álvarez agregó que la ciberseguridad sí está en la Agenda del Consejo Directivo, o incluso pueden tener un Comité específico que se dedique a eso, pero lo que hay que ver es cuánto tiempo le dedica al comité.
Además, señaló que el CISO reporta a áreas financieras, por lo que es muy malo hablar de la ciberseguridad en términos monetarios. Y, por último, concluyó que en este rubro se produce lo que se denomina la paradoja de la preparación, es decir, que las organizaciones invierten para que no pase.
Finalmente, el especialista en Ciberseguridad y Cumplimiento de Google Cloud, Eduardo Palacio coincidió con sus colegas en que en la cultura de ciberseguridad deben ser políglotas, y la seguridad es una decisión de negocio con implicaciones de negocio, en la que deben tomarse en cuenta tres elementos: el costo percibido y real, los riesgos a mitigar y el valor que le trae a la organización.