En los dos últimos años los ciberataques han irrumpido en empresas de todo tipo y condición. Los riesgos de seguridad han pasado a formar parte de las conversaciones habituales de las juntas directivas.
Sin embargo, el lenguaje y la terminología usada para describir estas amenazas resultan muy opacos para que los directivos los comprendan. Es decir, los altos cargos de las organizaciones no son capaces de interpretarlos correctamente y, por tanto, no están en una posición de tomar decisiones críticas. Esta es la principal conclusión que se desprende de un informe elaborado por la firma de seguridad Kaspersky.
Para elaborar el estudio se llevaron a cabo 1.800 entrevistas con altos directivos (CEO, COO; CFO, CMO, CIO, etc) de empresas de más de un millar de empleados en 13 países, incluyendo a España. Se preguntó a los encuestados sobre la ciberseguridad dentro de sus organizaciones, las medidas que toman para protegerse y las barreras que enfrentan como equipo directivo.
La encuesta constata que desde la alta dirección consideran que el mayor riesgo al que se enfrentan sus empresas son los ciberataques (49%), por delante de factores económicos (37%), como la inflación, la tasa de intereses, etc. Esto habría derivado en que la ciberseguridad estaría en la agenda de la mitad (51%) de los directivos.
En el caso particular de España el porcentaje anterior es más bajo en el primer caso. Un 45,5% habla de los ataques a la ciberseguridad como el principal peligro que identifican para la continuidad del negocio, mientras un 40,5% menciona los factores económicos. Este aspecto está empatado con los desastres naturales, con otro 40,5% que los menciona.
Grandes empresas, pequeños conocimientos
A diferencia de lo que se pueda pensar, que una compañía sea más grande no significa que tenga más preparación respecto a las ciberamenazas. De hecho, solo un 35% de las empresas de más de 5.000 empleados admiten que conocen estos ataques comparado con el 52% referente a las empresas de entre 1.000 y 1.999 trabajadores.
Uno de cada siete (14%) encuestados en empresas con más de 5.000 empleados afirmó que la ciberseguridad rara vez es un tema en sus reuniones con la dirección. Este porcentaje cae al 3% en empresas con 1.000-1.999 empleados o 2.000-2.999 empleados.
Aunque la ciberseguridad es una clara inquietud para los gerifaltes empresariales, los especialistas en seguridad encuestados (48%) afirman que la jerga de seguridad y la terminología del sector son la principal barrera para el equipo de dirección a la hora de entender la ciberseguridad y cómo abordarla.
Particularmente, para el 38% de los ejecutivos que participaron en el estudio términos básicos en ciberseguridad, como ransomware, malware o phishing resultan confusos.
El lenguaje algo más técnico, con conceptos como 'Zero Day Exploits' y 'Reglas Suricata' generó niveles similares de confusión, con el 39% de los encuestados que afirmó no comprender completamente estos términos.
Por países los ejecutivos italianos tienen más probabilidades de encontrar confusos los términos Malware, Phishing y Ransomware (50%), confesando que no se entendían por completo. Los franceses tenían más probabilidades (47%) de encontrar poco entendible el término 'ataque de Estado-Nación'.
Hay algunas barreras claras por las que estos directivos no entienden este lenguaje. La principal sería las restricciones presupuestarias, seguidas de la falta de formación. En el caso de España, esta es el principal 'muro', citada por un 55%.
Cómo se empapan de ciberseguridad los "jefazos"
Los altos directivos generalmente (en un 47%) dependen de las redes sociales, blogs de ciberseguridad y noticias disponibles públicamente para conocer más sobre las tendencias de seguridad para su discusión.
Curiosamente, de todos los países que participaron en el estudio España (34%) es donde más han admitido recurrir a la dark web para adquirir inteligencia de seguridad.
"Entender las implicaciones de un ataque exitoso en las operaciones de negocio, el impacto financiero y cómo la reputación puede verse afectada ya no es una opción para los responsables en la toma de decisiones de alto nivel", señala David Emm, analista principal de Seguridad en Kaspersky.
"Es preocupante ver que grandes organizaciones no aprecian la importancia de la ciberseguridad y de la inteligencia de amenazas para su negocio, lo que revela una desconexión entre los expertos TI y los ejecutivos que toman decisiones. Si bien la junta no necesita comprender los complejos entresijos de la ciberseguridad , debe comprender el impacto que las amenazas pueden tener en el negocio", añade.
La compañía de seguridad sugiere que para que la concienciación y comprensión llegue se requiere un puente que una el léxico y los términos usados en ciberseguridad con la junta directiva.