La ciberseguridad en la alta dirección.
Es fundamental, por tanto, que todas las empresas tengan definidas e identificadas las responsabilidades en la gestión de la seguridad de los sistemas de información de dichas empresas. Tal organización debe determinar con precisión los diferentes actores que la conforman, sus funciones y responsabilidades, así como la implantación de una estructura que las soporte.
Cuando una empresa sufre un ciberincidente que pone en riesgo su modelo de negocio e, incluso, la propia supervivencia empresarial debemos tener en cuenta que sus consecuencias trascienden a las que el propio impacto produce en la empresa desde el punto de vista de desarrollo de negocio dado que, además, la reputación, credibilidad y confianza de la empresa vulnerada quedan seriamente dañadas para los stakeholders. La implicación de la alta dirección es, por tanto, fundamental para que las organizaciones empresariales avancen en su capacidad de resiliencia al mismo ritmo que lo hace tanto la tecnología como los ciberataques.
La figura del CISO es primordial.
Desgraciadamente, si la alta dirección no está implicada ni concienciada de forma proactiva, tarde o temprano, un ciberincidente lo hará de forma reactiva y, en la mayoría de los casos, no de una forma suave. Por tanto, el compromiso de la alta dirección de las entidades debe ser tan fuerte como con el desarrollo de negocio, se debe abordar la ciberseguridad en sus comités y reuniones y deben supervisar que la organización disponga de los medios necesarios para asumir un riesgo residual aceptable. Para ello, la figura del CISO se hace imprescindible y muy necesaria.