Según PwC, los esfuerzos de ciberresiliencia están rezagados entre las organizaciones globales, en parte porque no logran involucrar a los CISO en inversiones estratégicas en tecnología. El gigante de la consultoría encuestó a más de 4.000 ejecutivos de empresas y tecnología para compilar su informe anual Global Digital Trust Insights. Encontró que solo el 2% de las organizaciones encuestadas han implementado acciones de resiliencia cibernética en todas las áreas encuestadas. Esto podría deberse a que a los CISO no se les otorga suficiente poder y autonomía. Menos del 50% participa en gran medida en la planificación estratégica de inversiones cibernéticas, afirmó PwC. “Déle a su CISO un asiento en la mesa”, instaba el informe. “Sus conocimientos son vitales para abordar de forma proactiva la ciberseguridad como un riesgo empresarial central. Involucrarlos al más alto nivel ayuda a su organización a alinear su enfoque para salvaguardar los activos críticos e impulsar la resiliencia”. Lea más sobre la estrategia de los CISO: un tercio de los CISO han sido despedidos “fuera de control” por la junta directiva. De hecho, la brecha entre las perspectivas y prioridades de los ejecutivos de tecnología y de negocios también se nota en otros lugares. Dos tercios (66%) de los ejecutivos de tecnología calificaron el ciberespacio como el mayor riesgo de mitigación, frente a la mitad (48%) de los ejecutivos de negocios. Por otro lado, los ejecutivos de empresas están más preocupados por la inflación (53%) que sus pares tecnológicos (44%). Otro síntoma de una mala alineación entre los objetivos empresariales y cibernéticos es el hecho de que sólo el 15% de los encuestados están midiendo el impacto financiero de los riesgos cibernéticos en una medida significativa. Esto a pesar de que la gran mayoría (89%) está de acuerdo en que esto es clave para priorizar la inversión en riesgo cibernético. Entre las principales barreras para mejorar en este sentido se encuentran la incertidumbre sobre el alcance del riesgo, los problemas de datos y confiabilidad, y las preocupaciones sobre el cumplimiento, según el informe. “Es hora de aprovechar todo el potencial de la cuantificación del riesgo cibernético. La brecha entre el reconocimiento y la implementación es una oportunidad perdida que ya no se puede ignorar”, argumentó PwC. «Las organizaciones que no miden el riesgo cibernético o no han desarrollado completamente esta capacidad están dejando información crítica sobre la mesa, particularmente cuando se trata de informar las decisiones de la junta directiva y la asignación de capital». Preocupaciones por el cumplimiento Otra área clave en la que los ejecutivos empresariales y tecnológicos aún no están alineados es el cumplimiento. El informe destacó una brecha de confianza de 13 puntos porcentuales entre los CISO y los directores ejecutivos con respecto al cumplimiento de las regulaciones de resiliencia e inteligencia artificial. «Debido a que los CISO están más en sintonía con las dificultades operativas del día a día, las limitaciones de recursos y las vulnerabilidades potenciales que pueden obstaculizar el cumplimiento cibernético, es vital que comuniquen estos riesgos de manera más efectiva al equipo de liderazgo», dijo PwC. “¿Qué les impide? Los obstáculos potenciales incluyen barreras a la participación de los CISO en decisiones estratégicas y la incapacidad de justificar la cantidad de inversión en riesgo cibernético necesaria”. Una mayor alineación entre los CISO y la junta directiva requerirá que los CISO presenten argumentos comerciales más contundentes para una mayor participación en la estrategia. También exigirá que la junta se interese más en los desarrollos del programa de riesgo cibernético, y que el CEO/CFO/CIO participe en ejercicios y evaluaciones de ciberresiliencia, concluyó PwC.