Todas las empresas conectadas a internet son vulnerables a los ciberataques. Y las pérdidas potenciales son importantes. El gigante de la venta al por menor Target, por ejemplo, estimó las pérdidas sufridas a causa de una filtración de datos en 2013 en más de 250 millones de dólares (unos 223 millones de euros). Es más, según un reciente estudio realizado por BAE Systems entre 300 mánagers de empresas de servicios financieros, seguros y tecnológicas de Estados Unidos, el 85% de los encuestados citaron la pérdida de reputación como la consecuencua más grave de una filtración. El 74% consideró las repercusiones legales como su segunda mayor preocupación.

La responsabilidad legal por una grieta de seguridad que afecta a los clientes corresponde directamente a la dirección de la empresa. Los ejecutivos tienen que saber personalmente cómo de fuertes son las ciberdefensas de su compañía. Conocer la respuesta prevista frente a un ataque o filtración. Sin embargo, según la encuesta, el 40% de las personas consultadas reconoció que no contaba con una idea clara de los protocolos de ciberseguridad de sus organizaciones. Esto debería servir como un toque de atención urgente para que los ejecutivos se tomen en serio la ciberseguridad dentro de la compañía.

Los ejecutivos deberían empezar por entender con qué protocolos cuentan, cuáles son sus limitaciones. Se cree que una evaluación anual de seguridad representa la mejor práctica para impedir las filtraciones. Si se hace bien, revelará el riesgo residual, el número y la escala de los posibles ataques. Si el riesgo residual es aceptable, una revisión anual puede ser suficiente. Sin embargo, si la amenaza residual preocupa, una evaluación semestral o trimestral incluso podría no bastar. El debate ahora, claro está, es qué nivel de riesgo residual es aceptable para cada empresa.

En muchos sentidos, esta evaluación de riesgos refleja la nueva realidad de la ciberseguridad. En un mundo hiperconectado en constante evolución, el enfoque ha de ser dinámico en lugar de estático. Por ejemplo, un enfoque dinámico sería programar dos revisiones anuales con dos proveedores distintos y ecalonarlas cada seis meses. Al hacerlo, una empresa puede reducir a la mitad el tiempo para detectar un ataque exitoso, en lugar de depender solo de una evaluación anual. Ampliar este modelo para contar con evaluaciones trimestrales o "a demanda" ante determinados eventos, o incluso comprobaciones aleatorias para amenazas conocidas, son otras alternativas.

Pero las revisiones y las evaluaciones no bastan. La mejor y más eficaz manera para que ejecutivos de primer nivel garanticen el cambio consiste en establecer una relación profesional sólida con el director de seguridad informática (CISO, por sus siglas en inglés).  En la actualidad, las empresas recurren a los CISO para ayudar a los gestores a entender las ciberamenazas e implementar los controles de seguridad adecuados a la vez que promocionar una cultura de ciberdefensa. Nuestra investigación encontró que nueve de cada 10 CISO están vinculados directamente al equipo más alto de dirección, la mitad de los cuales pertenece al equipo directivo. Fortalecer el papel del CISO para impulsar este cambio es una tendencia alentadora, pero los ejecutivos necesitan involucrarlos proactivamente si quieren lograr resultados reales en toda la organización.

Mientras que el CISO identificará riesgos y priorizará los protocolos de seguridad, les compete a los altos ejecutivos entender y promover los procedimientos por toda la empresa, llegar a los puntos más vulnerables frente a cibercriminales. Los equipos de dirección deben apoyar las evaluaciones de riesgos y estudiar los resultados junto al CISO. La compañía debería incluir al CISO en cada iniciativa de negocio nueva e integrar la seguridad desde el principio en vez de añadirla después. De hecho, la mejor práctica es poner al CISO a trabajar con cada equipo para determinar la manera de cumplir los objetivos de la manera más segura. Después hay que lograr que esos equipos sean responsables de los riesgos y fallos identificados por el CISO.

Es más, los ejecutivos deberían promocionar la importancia de la seguridad dentro de la empresa y mejorar la formación de los empleados. Las empresas deberían formar en ciberseguridad a los empleados de nivel medio y recién llegados con mayor frecuencia para reforzar las defensas. Según nuestra investigación, sólo el 38% de las empresas realiza formaciones cada trimestre o semestre; las demás lo hacen anualmente o incluso cada más tiempo. Además, en la mayor parte de los casos solo se logra que los empleados detecten, un mes después, ciberataques en el 25% de los casos. Los ejecutivos deberían convertir en una prioridad mejorar estos programas de aprendizaje y reducir las probabilidades de un ataque exitoso pasado el mes. La formación debería incluir intercambio de papeles, guiones que imiten los ataques reales y pruebas para comprobar su eficacia.

Defenderse de los ataques se ha convertido en una parte indispensable de las tareas de los altos ejecutivos. Ya no basta con dejar la ciberseguridad para las evaluaciones anuales o un único CISO. Los altos ejecutivos tienen que entender qué procedimientos existen y asegurarse de que todos las personas de la organización entiendan los protocolos y asuman su responsabilidad. Pero sobre todo, han de fomentar la relación adecuada con el CISO para que la seguridad forme parte de cada iniciativa de la empresa, para que no sea una ocurrencia tardía.