Los resultados de la encuesta Global CEO Survey 2023, capítulo México destacan que siete de cada 10 directores generales del país consideraron los riesgos cibernéticos como una amenaza para 2023 y los siguientes cinco años.
A pesar de que las empresas han implementado estrategias que ayudan a proteger sus activos, uno de los principales retos que enfrenta la mayoría de las compañías mexicanas es en la falta de una cultura de ciberseguridad y privacidad de la información.
Es esencial que los CEO comprendan la importancia de establecer una sólida cultura de ciberseguridad dentro de sus organizaciones. Esta cultura implica fomentar una mentalidad de seguridad informática en todos los niveles de la empresa, desde la alta dirección hasta los colaboradores.
Los modelos de negocio se están transformando para tener un componente digital. Ocho de cada 10 CEO mexicanos destacaron que en 2023 invertirían en automatizar sus procesos y sistemas; el 72%, en desplegar nueva tecnología, como inteligencia artificial o la nube, así como en capacitar a su fuerza laboral en áreas prioritarias.
El CEO necesita tener en claro que la ciberseguridad no solo es un tema de diseñar una estrategia o asignar un presupuesto al departamento de Tecnologías de la Información (TI). Es una responsabilidad que requiere un liderazgo tanto del CEO como del CISO para comunicar los mensajes y acciones a toda la organización sobre cómo protegerse de los ciberataques y promover la resiliencia.
Las empresas siempre estarán expuestas a la posibilidad de sufrir un ataque cibernético. En lugar de simplemente reducir la cantidad de incidentes, es fundamental contar con una estrategia que permita minimizar las vulnerabilidades y generar resiliencia, por ejemplo, incluir una estrategia de zero-trust.
Una estrategia de ciberseguridad que pueda generar una cultura organizacional en seguridad tecnológica, y que se adapte a los riesgos cibernéticos actuales, tendría que considerar lo siguiente:
Revisar los programas de ciberseguridad y privacidad de la información. Estas revisiones deben incluir pruebas de penetración, evaluaciones de riesgos y análisis de vulnerabilidades.
Reevaluar los programas de ciberseguridad para ajustar lo que no está funcionando. Esto puede incluir controles de seguridad obsoletos, políticas ineficientes o áreas en las que se detecten vulnerabilidades recurrentes.
Involucrar al CISO en las decisiones estratégicas y en el consejo de administración. Es importante otorgar un mayor peso al CISO en las decisiones estratégicas y ofrecerle la oportunidad de influir en el consejo de administración.
Capacitar a la fuerza laboral para generar una cultura de ciberseguridad y privacidad de la información. Programas de formación en ciberseguridad que aborden temas como el uso de contraseñas seguras, el reconocimiento de ataques de phishing o ransomware, y la protección de datos confidenciales.
Evaluar una posible aprobación de una Ley de ciberseguridad. México ya cuenta con una ley para la protección de datos personales, sin embargo, en 2023 las empresas podrían tener un marco legal que permita sancionar o tipificar los ataques cibernéticos.
Yonathan Parada
Socio de Cybersecurity Risk and Regulatory, Monterrey, PwC México