¿Por qué los responsables de TI del mundo financiero necesitan una nueva forma de hablar del riesgo?

El sector de los servicios financieros no es ajeno a los riesgos de TI. Por eso sigue siendo el que más gasta en Europa en ciberseguridad. Pero los mayores presupuestos no se traducen necesariamente en mejores resultados si no se centran en las áreas adecuadas. Para ello, las organizaciones necesitan un consejo de administración comprometido y consciente de la importancia de la gestión de los ciberriesgos para el éxito empresarial estratégico. Un nuevo estudio global revela que esto dista mucho de ser así en muchas empresas de servicios financieros.

Por José Battat, director general de Trend Micro Iberia

Para cambiar el statu quo, los responsables de la toma de decisiones empresariales y de TI (ITDM/BDM) necesitan encontrar una manera diferente de hablar sobre el riesgo con su alta dirección.

Una oleada digital

La buena noticia es que la mayoría (95%) de los encuestados de los servicios financieros creen que sus consejos de administración están preocupados por los ataques de ransomware, y una mayoría considera que los ciberataques tienen el mayor impacto de costes de todos los riesgos empresariales. Tienen razón en estar preocupados, dado el aumento del gasto digital durante la pandemia. Si bien esto fue esencial para apoyar el trabajo masivo a distancia y ofrecer nuevos canales online para llegar a los clientes, también amplió la superficie de ataque de las empresas.

Trend Micro detectó el mayor número de emails de phishing en la nube (más de 3,4 millones) y bloqueó el mayor número de archivos maliciosos enviados por correo electrónico en el sector de los servicios financieros el año pasado. Ni que decir tiene que la información financiera y personal que manejan estas organizaciones, así como el acceso a las cuentas bancarias que proporcionan, son muy codiciados en los mercados de la ciberdelincuencia.

Sin embargo, a pesar de reconocer la importancia de lo cibernético, los consejos de administración de las entidades financieras parecen ser notablemente indiferentes a la gestión de los ciberriesgos. La gran mayoría de los ITDM y BDM encuestados dice que su organización estaría dispuesta a comprometerse y ceder en el plano de lo ciber en favor de otras prioridades del negocio como la mejora de la productividad de los usuarios o la transformación digital. Es una postura que parece ignorar el hecho de que, para que estas iniciativas empresariales generen el máximo valor, deben ser seguras.

Fallo de comunicación

Parte del problema podría ser la propensión a volver a una mentalidad de esconder la cabeza como el avestruz cuando se enfrentan a cuestiones de ciberriesgos. La mitad de los encuestados dice que creen que su consejo de administración sigue tratando el ciberriesgo como un riesgo de TI aislado. Y solo el 62% de los equipos de TI comentan los riesgos con la dirección al menos una vez a la semana, lo que es demasiado poco teniendo en cuenta la rápida evolución del panorama de las amenazas. Más preocupante aún es el hecho de que, incluso cuando se les invita a hacer una presentación ante la junta directiva, el 83% de los ciberexpertos se sienten presionados a autocensurarse por miedo a sonar demasiado negativos. Restar importancia a la gravedad de las amenazas solo perpetuará la ignorancia de los directivos sobre los verdaderos niveles de riesgo cibernético en su organización.

En parte como resultado de esta falta de comunicación, solo la mitad de las organizaciones de servicios financieros creen que sus directivos comprenden plenamente el riesgo cibernético. Algunos creen que se debe a que el ciberespacio es un tema intrínsecamente complicado y que evoluciona con rapidez. Otros apuntan más directamente al propio consejo de administración, argumentando que sus miembros no se esfuerzan lo suficiente por entenderlo o no lo consideran su problema.

Malgastando dinero con el problema

El resultado final no es que los consejos de administración de los servicios financieros no estén gastando dinero en lo cibernético. De hecho, el 61% de los encuestados afirma que su organización ha aumentado la inversión en la mitigación de riesgos, muy por encima de la media de los sectores verticales, que es del 49%. Es más bien que la estrategia es inconsistente de mes a mes y el gasto corre el riesgo de ser reactivo y táctico.

Los consejos de administración deberían plantear las preguntas adecuadas a sus responsables de seguridad TI en todas y cada una de las reuniones, con el fin de planificar las amenazas que se avecinan. Gastar a posteriori suele ser ineficaz y puede llevar a que el departamento de TI se vea obligado a gestionar un número creciente de productos puntuales inconexos. Esto deja muchas lagunas de cobertura para que los actores de amenazas las exploten.

Un debate más honesto

Es hora de reconocer que lo cibernético es una parte intrínseca del riesgo empresarial, si no el factor más importante. Pensemos en una aplicación bancaria. Si la seguridad no se integra eficazmente en la solución desde el principio, pueden producirse incidentes que afecten a la confianza de los clientes y al uso de la aplicación. Si los clientes tienen demasiado miedo de utilizarla, un proyecto digital de varios millones de euros puede acabar en la basura.

Entonces, ¿cómo podemos acercar a los responsables de la toma de decisiones de TI y de la empresa? Hacer que el CISO dependa del CEO ayudará a mejorar la comunicación del ciberriesgo en la cúpula de la organización. Y formalizar la función de seguridad con documentación, indicadores clave de rendimiento y métricas establecidas ayudará a los responsables de TI a articular el ciberriesgo en términos de riesgo empresarial.

También hay razones de peso para considerar que la seguridad no debe ser un asunto exclusivo de los departamentos de TI y de las salas de juntas, sino de todos los miembros de la organización. Solo la mitad de los encuestados afirma que los conceptos de gestión de ciberriesgos se entienden ampliamente en su empresa.

Solo cuando todo el mundo se involucre en la ciberseguridad, las empresas de servicios financieros podrán crear la cultura de seguridad por diseño que necesitan para impulsar el éxito del negocio.

José Battat, director general de Trend Micro Iberia