Las cinco conclusiones principales sobre gobernanza, riesgo y cumplimiento del informe sobre perspectivas de seguridad global del WEF 5: ISMS.online

Las cinco conclusiones principales del informe Perspectivas de seguridad global del WEF 5

Por Dan Raywood • 21 de febrero de 2023

El informe Perspectivas de seguridad global de este año del Foro Económico Mundial contenía una gran cantidad de información sobre el estado de la ciberseguridad. Dan Raywood analiza las cinco conclusiones clave sobre gobernanza, riesgo y cumplimiento.

El año pasado el Foro Económico Mundial anunció planea una asociación público-privada para combatir el cibercrimen, diciendo que para “abordar sistemáticamente” la amenaza, “es imperativo aumentar el costo de llevar a cabo el cibercrimen y aumentar los riesgos para los ciberdelincuentes”.

Después de este anuncio, este año Informe de perspectivas de seguridad global del Foro Económico Mundial (WEF) abarcó las principales tendencias en ciberseguridad en 2023. El resumen ejecutivo afirma: “La importancia del riesgo cibernético ciertamente se ha escuchado en las altas esferas y en las salas de juntas. Por otro lado, es una cuestión abierta si los líderes cibernéticos y los líderes empresariales se entienden lo suficientemente bien como para enfrentar este desafío”.

Este punto fue bastante revelador, ya que los temas de comunicación, riesgo y postura de cumplimiento fueron destacados a lo largo del informe. Con una amplia gama de temas cubiertos, este blog analizará cinco de los principales puntos que más corresponden al riesgo, el cumplimiento y la regulación.

Destaca el riesgo cibernético

En última instancia, todos los temas cubiertos en este informe impactan el riesgo cibernético, pero en particular, el WEF dijo que hubo avances significativos en la comprensión del riesgo cibernético. En particular, admitió que cuando se recopilaron conocimientos sobre las amenazas cibernéticas emergentes, fue evidente el trabajo para traducir “las cuestiones de riesgo cibernético en comunicaciones que los altos ejecutivos y las juntas directivas puedan utilizar de manera efectiva”, así como lo que aún queda por hacer. hecho.

Si bien “ha aumentado la conciencia sobre los problemas de riesgo cibernético a nivel ejecutivo”, las empresas siguen teniendo el desafío de determinar la mejor manera de abordar el riesgo cibernético. El WEF afirma que esto "sigue siendo un desafío para los líderes organizacionales", y si bien las juntas directivas parecen estar más conscientes de lo cibernético que antes, las preguntas que hacen sobre la ciberseguridad implican que es posible que no hayan comprendido completamente el efecto del riesgo cibernético en el riesgo empresarial. .

Comunicación de la junta directiva con los líderes de seguridad

Al igual que hay una mejora en la adopción de cuestiones de riesgo cibernético en la comunicación, la comunicación de la junta directiva con los líderes de seguridad es una tendencia clave en el informe de este año.

El WEF afirma que los cambios en las estructuras organizativas están permitiendo una comunicación más fluida en torno a una gestión eficaz del riesgo cibernético, lo que permite que se lleven a cabo esos debates. Esto incluye una mayor concienciación sobre los riesgos cibernéticos entre los ejecutivos de empresas: el 27% informó este aumento, en comparación con el 16% del año pasado.

Además, el WEF destaca un cambio en los comportamientos reportados entre los líderes cibernéticos, ya que el 56% de los líderes cibernéticos se reúnen con líderes empresariales mensualmente o con mayor frecuencia para discutir temas centrados en lo cibernético.

Cómo se integra la resiliencia cibernética en la gestión de riesgos

Siguiendo las conclusiones de la comunicación de la junta directiva, el concepto de resiliencia cibernética fue particularmente prominente ya que se determinó que “impulsar la resiliencia cibernética comienza con mejorar la comunicación entre los líderes cibernéticos y empresariales” y “la comunicación efectiva es la base para el éxito en cualquier programa de resiliencia cibernética”. .”

El informe del WEF destacó el nivel de integración de la resiliencia cibernética en las estrategias de gestión de riesgos empresariales: el 95% de los ejecutivos de negocios y el 93% de los ejecutivos cibernéticos coinciden en que la resiliencia cibernética está integrada en la estrategia de gestión de riesgos empresariales de su organización.

Entonces, ¿cómo se habilita la ciberresiliencia? Está el factor de comunicación, ya que esto permite "más oportunidades para alinearse con las prioridades de ciberseguridad", y el WEF afirma que aquellos líderes que se reúnen con más frecuencia tienen más confianza en la resiliencia cibernética de su organización que aquellos que se reúnen con menos frecuencia. Además, un tercio de todos los líderes cibernéticos dijeron que obtener el apoyo del liderazgo era el aspecto más desafiante de la gestión de la resiliencia cibernética.

El impacto de las regulaciones sobre el cumplimiento

Un argumento podría ser que las regulaciones determinan el cumplimiento y, por lo tanto, una se apoya en la otra. El informe del WEF afirma que ahora es más probable que los ejecutivos cibernéticos vean las leyes de privacidad de datos y las regulaciones de ciberseguridad como herramientas efectivas para reducir los riesgos cibernéticos en un sector.

Un punto clave sobre el tema de la regulación es si impactan las operaciones de una empresa, ya que algunos elementos de las regulaciones de ciberseguridad “siguen siendo duplicados y pueden mover recursos del trabajo central de ciberseguridad hacia actividades que apuntan principalmente a demostrar el cumplimiento en lugar de mantener segura a una organización. "

Sin embargo, las regulaciones son esenciales ya que son algo a lo que las juntas directivas responden activamente y "son un valioso punto de partida para incorporar técnicas de ciberresiliencia en toda una organización".

¿Un estándar a seguir, en lugar de algo que debe verse como un obstáculo y una obstrucción al funcionamiento de una empresa? El informe encontró que el 76% de los líderes empresariales y el 70% de los líderes cibernéticos estuvieron de acuerdo en que una mayor aplicación de la ley conduciría a un aumento de la resiliencia cibernética de sus organizaciones, y que las regulaciones aplicadas adecuadamente elevarán la calidad de la ciberseguridad en todo su sector y sus cadenas de suministro, lo que aumentará , a su vez, hacen que sus empresas sean menos propensas a sufrir daños colaterales por ataques a otras organizaciones.

Cómo la gestión de riesgos es un paso positivo hacia adelante

La gestión de riesgos es una parte crucial de la ciberseguridad; Las juntas directivas entienden y abordan esto como parte de sus comunicaciones y acciones. El informe afirma que a las organizaciones que incorporan la gestión del riesgo cibernético en múltiples aspectos de sus actividades les resulta más fácil desarrollar respuestas estratégicas a los cambios en el entorno de amenazas, lo que hace que su organización sea más resistente a los ataques cuando ocurren.

Además, se afirmó que los líderes de seguridad deberían ayudar a sus juntas directivas a alinear la gestión del riesgo cibernético con las necesidades comerciales identificando cómo la gestión del riesgo cibernético y la resiliencia ayudan a cumplir los objetivos comerciales.

En última instancia, hubo mucho que sacar del informe cibernético del WEF de este año, pero el propio resumen del informe afirma que "los líderes empresariales son más conscientes del panorama de amenazas y los líderes cibernéticos hicieron apariciones más frecuentes ante su junta directiva". Esto garantiza que ambos grupos tengan una visión más clara de las fortalezas y debilidades de las capacidades cibernéticas de sus organizaciones, y las cuestiones cibernéticas ahora están más integradas en la gestión de riesgos empresariales y reciben más apoyo a nivel de junta directiva.

Esto debería garantizar que las empresas sean más conscientes de las amenazas que se les presentan para crear un mejor programa de gestión de riesgos y una postura de riesgo cibernético más asertiva.

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Lea más de Dan Raywood

La seguridad cibernética 30 Septiembre 2025

¿La violación de GROK generará grandes preocupaciones de seguridad?

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Un incidente reciente ha suscitado inquietud sobre el manejo de datos por parte de las herramientas GenAI. ¿Es hora de garantizar que sus datos no terminen en sus archivos?

Daniel Raywood

La seguridad cibernética 29 May 2025

El marco de ciberseguridad y privacidad del NIST se renueva

Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a la práctica...?

Daniel Raywood

La seguridad cibernética 21 de enero de 2025

Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias globales de ciberseguridad mostraron cómo las vulnerabilidades a menudo se explotan como ataques de día cero. Ante una situación tan impredecible...

Daniel Raywood