Desde 2013, el Gobierno británico ha encuestado a las 350 empresas más importantes del Reino Unido para saber cómo gestionan sus riesgos cibernéticos. El informe de este año ha revelado que estas empresas son ahora más conscientes de la importancia de una buena ciberseguridad, pero advierte que deben mejorar a un ritmo mucho más rápido si quieren adelantarse a los futuros retos de ciberseguridad.
A continuación, examinamos algunas de las principales conclusiones del informe de este año y analizamos lo que podría significar para el futuro de la ciberseguridad, el cumplimiento de la normativa y la protección de datos.
La formación en ciberseguridad es un problema para las empresas del FTSE 350
Posiblemente, el dato más sorprendente del informe es que el 68% de las empresas no ha recibido ninguna formación para hacer frente a un incidente cibernético. A pesar de que más de una cuarta parte (26%) ha recibido algún tipo de formación sobre la respuesta a incidentes, un preocupantemente bajo 2% informó de que había recibido una formación completa de su Junta Directiva en relación con la respuesta a incidentes.
El informe también reveló que más de una cuarta parte de los consejos de administración no tienen un papel definido en la respuesta de toda la empresa a un incidente cibernético. Esto simplemente no es suficiente en la empresa moderna. La protección de los activos de información clave es de vital importancia en todas las funciones empresariales hoy en día.
Los miembros de los consejos de administración deben gestionar los riesgos en sus organizaciones con el apoyo de la alta dirección, aplicando las mejores prácticas de gestión de riesgos y cultivando una cultura consciente de los mismos. De este modo, las empresas no sólo protegerán sus preciados activos, sino que también obtendrán beneficios estratégicos y operativos.
El RGPD sigue siendo un problema para las grandes empresas
El informe ha revelado que los consejos de administración solo consideran el RGPD de forma ocasional en sus reuniones. Esto es un gran motivo de alarma a medida que el reloj se acerca a la implementación del GDPR el 25 de mayo de 2018. Si nos fijamos específicamente en la gestión del GDPR a nivel de la Junta Directiva, la mayor proporción de los encuestados dijo que el asunto se ha discutido, pero no era un asunto habitual (42%). Esto indica que hay al menos una conciencia general del GDPR, pero cuando se combina con el hallazgo del informe de que sólo el 13% de los encuestados dijo que el GDPR era considerado regularmente por su consejo, esto es preocupante.
A estas alturas, las empresas deberían estar ya bien encaminadas para ultimar su plan sobre el RGPD. Sin embargo, el informe indica que esto está lejos de ser así y existe la posibilidad de que cunda el pánico en las empresas del FTSE 350 en los próximos meses para poner en marcha un plan para hacer frente al GDPR.
Buenas noticias
A pesar de estas advertencias, hay motivos de celebración en el informe. Se ha producido un aumento notable en la comprensión y la concienciación de los consejos de administración sobre el impacto potencial que puede tener la pérdida o la interrupción de los activos de información o datos clave. Esto ha aumentado del 49% en 2015/16 al 57% en el informe de este año.
En cuanto a la información que reciben los consejos de administración sobre ciberseguridad, el informe de este año reveló que el 31% recibe información de gestión completa e informativa sobre las ciberamenazas. Teniendo en cuenta que esta cifra ha aumentado desde el 21% del año anterior, se trata de una gran fuente de positividad.
En conclusión, se puede decir que el informe de chequeo de la gobernanza cibernética del FTSE 350 de este año es una mezcla. Hay una notable mejora en algunas áreas, mientras que otras, como la formación y la introducción del GDPR, siguen siendo ignoradas.
Si desea leer el informe completo, puede hacerlo aquí.
¿Qué le ha parecido el informe de este año, ha habido algo que le haya preocupado mucho? ¿Hay algo que le haya sorprendido especialmente?