Esta cifra es síntoma de una falta de alineación entre la seguridad y los objetivos de negocio, lo que ha provocado consecuencias negativas para el 88% de los encuestados y un aumento del éxito de los ciberataques en una de cada cuatro empresas.

Delinea, proveedor líder de soluciones de gestión de accesos privilegiados (PAM) ampliada para una seguridad sin fisuras, acaba de publicar los resultados de su encuesta global a más de 2.000 responsables de TI y ciberseguridad (IT Security Decision Makers). Entre sus principales conclusiones, el estudio “The Impact of Business Alignment on Cybersecurity Effectiveness” revela una falta de alineación entre la estrategia de ciberseguridad y de negocio en las empresas españolas, ya que sólo un 37% de los encuestados cree que existe una “fuerte alineación” entre ambos objetivos mientras que, para la mayoría, están algo o no muy alineados.

Esta desconexión también se muestra en la forma de entender la ciberseguridad por parte de los líderes de las empresas, ya que sólo el 48% de los encuestados en España afirma que los directivos de su empresa entienden bien el papel de la ciberseguridad y la ven como un habilitador del negocio. A esto se añade que más de un tercio (38%) cree que la ciberseguridad solo se considera importante para el cumplimiento normativo y un 12% piensa que no se considera una prioridad comercial.

Otra de las conclusiones del informe es que esta desconexión ha causado al menos una consecuencia negativa para el 88% de las organizaciones y más de una cuarta parte (26%) afirma que esto ha provocado un aumento de los ciberataques con éxito en su empresa. Pero esto no es todo, entre otros de los aspectos negativos reportados por los encuestados españoles se encuentran también los retrasos en la inversión (33%) y en las decisiones estratégicas (31%), así como un aumento innecesario del gasto (27%). Esto también ha traído problemas nivel personal, ya que el 23% señala que ha afectado al estrés de todo el equipo de seguridad.

Sin duda, unas conclusiones muy similares a las registradas a nivel global, donde la falta de alineación de objetivos es amplia y ha contribuido también a provocar retrasos en las inversiones (35%) y en la toma de decisiones estratégicas (34%), así como aumentos innecesarios del gasto (27%) y en el estrés de todo el equipo de seguridad (31%). Además, la incertidumbre económica mundial ha empeorado más aún la situación, según el 43% de los encuestados (48% a nivel global) al afirmar que, como consecuencia de ello, cada vez es más difícil alinear la ciberseguridad y los objetivos empresariales.

Las métricas y procesos de seguridad no se centran en resultados empresariales

Los procesos estructurales son clave para alinear los objetivos y un aspecto positivo en este sentido es que la encuesta ha desvelado que la mayoría de los equipos de seguridad (60%) se reúnen regularmente con sus homólogos empresariales al más alto nivel. Sin embargo, el estudio muestra que todavía hay margen de mejora, ya que solo el 45% de las empresas han integrado a los miembros del equipo de seguridad en las funciones comerciales (54% a nivel mundial), solo el 36% documenta políticas y procedimientos para facilitar la alineación de los objetivos de ciberseguridad con los corporativos (48% a nivel mundial), y el 28% dice que la alineación es ad hoc y «ocurre solo cuando es necesario» (frente al 33% en todo el mundo).

El informe también ha sacado a la luz que las métricas utilizadas para medir y demostrar el valor que aporta la ciberseguridad en las empresas siguen estando estrictamente vinculadas a cifras técnicas o basadas en actividades. Por su parte, en España el principal hito que se mide para analizar el éxito de las medidas de ciberseguridad aplicadas en las compañías es la reducción del coste de los ataques, para un 31% de los encuestados, seguido del ahorro de tiempo de los equipos (30%) y el cumplimiento normativo, para el 29%.

«La ciberseguridad puede ser un gran impulsor del negocio, pero este estudio refleja que aún queda trabajo por hacer a nivel directivo para cambiar la mentalidad. Los líderes ejecutivos deben pensar en la ciberseguridad no sólo en términos de cumplimiento o protección de la empresa, sino también en términos del valor que puede aportar a un nivel más estratégico», afirma Joseph Carson, Chief Security Scientist y Advisory CISO de Delinea.

Falta de competencias empresariales en los responsables de ciberseguridad

El desarrollo de competencias empresariales en los responsables de ciberseguridad puede proporcionar el camino hacia una mejor alineación, a pesar de que los encuestados consideran que las competencias técnicas son las más valiosas para ser un líder de ciberseguridad. De hecho, creen que están por encima de habilidades como la comunicación, la colaboración, la perspicacia empresarial y la gestión de personas. Por ello, casi un tercio de los encuestados españoles (30%) afirman carecer de perspicacia comercial, el 27% siente que no puede presentar un caso de negocios a la alta gerencia, mientras que el 25% reconoce que no tiene una comprensión completa de todos los requisitos legales.

Alinear los objetivos también implica revisar las líneas jerárquicas y la visibilidad a nivel de CEO. Sin embargo, la encuesta de Delinea sugiere que hay poco ánimo hacia el cambio en las estructuras de información, ya que en España sólo el 22% cree que los CISO o los líderes de ciberseguridad de más alto nivel deberían informar al Director General para alinear mejor la ciberseguridad con los objetivos generales de la empresa.

«La alineación entre la ciberseguridad y los objetivos empresariales es esencial para el éxito de una compañía. Esta investigación destaca claramente las consecuencias negativas de que los objetivos de los equipos no estén totalmente sincronizados. Garantizar un acuerdo común en todas las funciones empresariales es vital y hay un valor real en las métricas que no sólo miden la actividad de seguridad, sino que también demuestran el impacto en los resultados empresariales», añadió Carson. «La comunicación es la clave y, aunque los conocimientos técnicos siguen siendo importantes, los responsables de seguridad deben ser capaces de comunicar, influir y presentar el valor que añaden a los resultados empresariales con más frecuencia que nunca. Los líderes de seguridad que demuestran esta mezcla de habilidades, y que tienen el mismo objetivo final a la vista que el negocio, son una fuerza a tener en cuenta.»