La Universidad Canergie Mellon, a través de su laboratorio CyLab, realizó un estudio patrocinado por RSA, donde se encuestó a 2.000 ejecutivos de empresas de clase mundial, sobre las prácticas de gobernabilidad de seguridad digital, y se encontró que estos aún no le están prestando la debida atención a los riesgos cibernéticos.
Jody Westby, director general de riesgo mundial del CyLab y enargado de realizar este estudio por tercera vez aseguró que “La privacidad y seguridad son cuestiones de competitividad y las empresas que marcan la pauta de un “lugar de trabajo confiable” con los empleados, también transmiten el mensaje de un “negocio confiable” en el mercado. Un gobierno efectivo mejora la rentabilidad a través de mitigar riesgos y pérdidas asociadas con los costos de cumplimiento, tiempo de inactividad operativa, cibercrimen y robo de propiedad intelectual.”
Entre los hallazgos más importantes del estudio, destaca que los directorios ejecutivos no suelen estar involucrados ni comprometidos con los mecanismos de supervisión más importantes, incluyendo establecer las políticas “top” de seguridad, determinar el enfoque y el alcance del concepto de privacidad dentro de la organización, ni siquiera en la elaboración del presupuesto de seguridad, un aspecto fundamental para el desarrollo de las políticas de seguridad. De hecho el 54% de los encuestados no revisa y aprueba nunca, o lo hace muy esporádicamente, el presupuesto anual de seguridad y privacidad. Incluso el 58% de los encuestados comentaron que sus juntas directivas no están revisando la cobertura de sus seguros relacionados con riesgos cibernéticos.
Los invesitgadores de Carnegie Mellon concluyen su informe con una serie de recomendaciones para que las organizaciones mejoren sus políticas de seguridad y aumenten la gobernabilidad sobre las mismas, que a continuación copio textualmente del comunicado de prensa en español.
· Establecer la “pauta adecuada para la dirección” de privacidad y seguridad a través de políticas de nivel superior.
· Revisar roles y responsabilidades de privacidad y seguridad para garantizar que hayan sido asignadas a profesionales calificados de tiempo completo de alto nivel, al igual que el riesgo y la responsabilidad son compartidos a través de la organización.
· Asegurar el flujo regular de información a la alta dirección y consejos sobre riesgos de privacidad y seguridad, incluyendo incidentes y brechas cibernéticas.
· Revisar los presupuestos de TI anuales para privacidad y seguridad, de manera separada que el presupuesto del Director de TI.
· Llevar a cabo revisiones anuales del programa de seguridad empresarial y efectividad de controles, reexaminar los resultados y garantizar que las brechas y deficiencias sean atendidas.
· Evaluar la conveniencia de la cobertura del seguro cibernético contra el perfil de riesgo de la organización.
Les recomiendo revisar la “encuesta 2012 Carnegie Mellon Cylab Governance”. Quién sabe si al comentar los datos encontrados, estén también hablandodeti y de tu organización.