En el seminario virtual «Ciberseguridad: La mayor preocupación de los directivos”, Silvia Sepúlveda, Head of Financial Lines en Assiteca España, expone que la ciberseguridad es un aspecto cada vez más crítico que puede impactar directamente en el negocio y reputación de las empresas, por lo que «es fundamental involucrar al comité de dirección en las políticas de seguridad de la información”.

Alejandro Padín, socio en Garrigues, insiste en el mismo mensaje: “las normativas específicas como el Reglamento de protección de datos tienen menciones expresas a la necesidad de que las más altas jerarquías de las compañías estén involucradas y tomen decisiones sobre la estrategia de seguridad de la información”.

Es esencial estar involucrado en la planificación de ciberseguridad, porque ésta tiene que estar incluida dentro de la estrategia de la compañía como parte del negocio. Además, «hay una serie de obligaciones en materia de custodia de la información que si no se contemplan están suponiendo un incumplimiento de las obligaciones de los propios administradores y de los directores”, advierte.

Juan Cobo, Global CISO en Ferrovial, asegura que en la gran empresa ya hace tiempo que la ciberseguridad es un asunto del comité de dirección y del consejo de administración. “En Ferrovial, la ciberseguridad está dentro del top 10 de los riesgos de la compañía”, subraya.

“Debemos tener capacidad para poder detectar los ciberataques, saber cómo nos vamos a enfrentar a ellos y cómo nos vamos a recuperar”, insiste. Y para estar preparados hay que incluir a todas las áreas de la organización. También es clave contar con cobertura aseguradora: “Cuanto tienes un incidente y tienes un ciberseguro y tienes claro cómo utilizarlo, qué pasos a seguir y dónde te puede ayudar, te das cuenta que es absolutamente imprescindible”.

Xabier Mitxelena, Managing Director y Iberian Security Lead en Accenture, precisa que la ciberseguridad no es un elemento tecnológico, sino reputacional, en el que tiene una responsabilidad la alta dirección. En “el mapa de riesgos de grandes compañías se empieza a tener claro que la ciberseguridad es una inversión, pero también un elemento de competitividad”, remarca.

También de relieve la importancia de colaborar entre empresas, compartiendo conocimiento e información y luchando contra un enemigo común. “El crecimiento exponencial que tiene el ámbito del cibercrimen nos tiene que preocupar de forma común”, argumenta. Y la necesidad de contar con una cultura de la ciberseguridad: “Las empresas se tienen que educar. Si creamos una verdadera cultura eliminaremos el 80-90% de los incidentes. La seguridad es una inversión, y tenemos que entender que en esa inversión hay que dar pasos hacia adelante”.

Para Toni García, CISO y CIO en LETI Pharma, alinear las estrategias de negocio, riesgos y ciberseguridad “es el último paso que todavía aún no hemos acabado de dar». «En el momento que esa consciencia transversal exista, las estrategias se alinearan de manera natural”, puesto que los tres elementos -negocio, riesgos y ciberseguridad- están interrelacionados.

“Que exista una parte regulatoria que diga que hay que cumplir es un primer paso que te permite establecer unas reglas del juego”, admite. Pero también “es un desafío porque tener que cumplir una regulación implica sobreesfuerzos de auditoria, de establecimiento y controles, y de alineamiento de normas que no siempre están adecuadamente desarrolladas para que encajen entre ellas, tienes que hacer un ejercicio de cruzar esas normas para ver que no estés implantando dos cosas distintas para el mismo objetivo”, matiza.