The Cybersecurity Imperative (1/2): la gestión de los ciber riesgos en un mundo digital cambiante

The Cybersecurity Imperative (1/2): la gestión de los ciber riesgos en un mundo digital cambiante

publicado en: Ciberseguridad | 0

Los riesgos cibernéticos son uno de los principales desafíos para cualquier negocio en la actualidad. A nivel mundial, la ciber seguridad se llevará casi seis billones de dólares de presupuesto en 2021. Casi todas las compañías y organizaciones son conscientes de cómo un ciber incidente puede interrumpir las operaciones, dañar la reputación o provocar importantes pérdidas de ingresos. Aun así, las formas de afrontar los ciber riesgos todavía se alejan, en muchos casos, de lo ideal.

Aspectos como el desconocimiento, la poca implicación de los directivos o la limitación de las políticas de ciber seguridad al departamento de IT todavía son habituales. El informe The Cybersecurity Imperative, elaborado por The Wall Street Journal con la participación de Willis Towers Watson, analiza el estado de la ciber seguridad de las empresas. Estas son sus principales conclusiones.

 

La gestión de los ciber riesgos en las empresas

 

1.- Más digitalización, más ciber riesgos

SUSCRÍBETE

La velocidad de la transformación digital aumenta y, con ella, aumentan los riesgos cibernéticos. A medida que las empresas adoptan nuevas tecnologías, servicios en la nube, plataformas abiertas y trabajaban en ecosistemas digitales, crecen los ciber riesgos. El 81% de las empresas consultadas para el informe había sufrido un ataque de malware en los últimos 12 meses. En los próximos dos años, se dispararán los riesgos asociados a clientes y proveedores (+247%), a la cadena de suministro (+146%) y los ataques de denegación de servicio o DoS (+144%).

 

2.- Los riesgos de frenar el progreso

La transformación digital parece imparable. Como hemos visto, con ella, los ciber riesgos se disparan. Por ello, las organizaciones deben hacer un esfuerzo extra para que las políticas de ciber seguridad evolucionen al mismo ritmo que la digitalización. Según el informe, las empresas que se encuentran en las primeras fases de elaboración de su ciber defensa tienen un 27% más de probabilidades de sufrir un ataque importante que aquellas que tienen políticas avanzadas de ciber seguridad.

 

3.- El mayor riesgo sigue siendo interno

Casi seis de cada 10 de las empresas que participaron en el informe consideran que existen importantes riesgos derivados de la acción de hackers y ciber criminales. El 44% señala también la amenaza de la ingeniería social. Pero más del 90% sigue asegurando que los mayores riesgos se producen por culpa de personal que no ha recibido una preparación adecuada en ciber seguridad. Este riesgo interno se complica aun más si tenemos en cuenta a terceros como partners, proveedores o vendedores.

 

4.- Aumenta la inversión

Durante el último año, las empresas aumentaron su gasto en ciber seguridad un 7%. Para 2019, se prevé un nuevo aumento del gasto cercano al 13%.

Durante el último año, las empresas aumentaron su gasto en ciber seguridad un 7% para hacer frente a los riesgos crecientes. Para 2019, se prevé un nuevo aumento del gasto cercano al 13%. Las compañías que más han incrementado su inversión en ciber seguridad son las plataformas, las empresas de energía y servicios públicos, los mercados de consumo, los seguros y los servicios financieros.

Este aumento del gasto se repartirá de forma desigual. Las grandes compañías, con ingresos superiores a los 1.000 millones de dólares anuales, incrementarán el gasto por encima del 30%. Además, las organizaciones de Corea del Sur, México, Australia, China, Singapur, Argentina y Estados Unidos son las que más aumentarán su inversión en ciber seguridad.

 

5.- La tecnología no lo es todo

Más de uno de cada tres dólares del presupuesto del próximo año en ciber seguridad será destinado a elementos tecnológicos. Pero, según el informe, el 31% se destinará a procesos y el 30% a personal. Las organizaciones destinarán buena parte del gasto a reducir los ciber riesgos de tecnologías emergentes como blockchain, internet de las cosas e inteligencia artificial.

 

6.- España, entre los países más seguros

El informe de The Wall Street Journal establece un ranking de países en función del índice de madurez en ciberseguridad. La clasificación está liderada por Estados Unidos, seguido de Corea del Sur, Japón, Francia, Australia y España. Las puntuaciones más bajas están en mercados como México, India, Argentina y Brasil y en casos concretos de compañías alemanas y suizas. La mayoría de organizaciones están además apostando por reforzar sus políticas de prevención y detección de ciber riesgos, en lugar de por medidas de respuesta y resistencia.

Para la mayoría de empresas, todavía es complicado medir de forma precisa el retorno de la inversión (ROI, por sus siglas en inglés) en materia de ciber seguridad.

La madurez de las políticas de ciber seguridad es importante. El informe señala una correlación entre los niveles de madurez y la incidencia de los ciber ataques. Por ejemplo, las organizaciones poco maduras tienen un 21,1% de probabilidades de que un ataque provoque pérdidas por encima de un millón de dólares. Entre las organizaciones maduras, la probabilidad baja al 15,6%.

 

7.-La ciber seguridad también está en la organización

La presencia de la ciber seguridad en la estructura organizativa de la compañía es importante. La figura del CISO (de las siglas en inglés de jefe de ciber seguridad) es algo común en las organizaciones más maduras. “El puesto de un CISO es uno de esos roles interesantes. Todo el mundo cree que es muy importante, pero nadie lo quiere. Es como la persona que nadie ha invitado a la fiesta”, señala en el informe Matthew Johnson, CISO, Willis Towers Watson. Y es que, entre las organizaciones poco maduras, las funciones de ciber seguridad solo recaen en un CISO en el 20% de los casos.

A menudo, la responsabilidad final de la ciber seguridad de una compañía recae en la junta. Sin embargo, los cambios normativos más recientes, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, hacen que cada vez sea más necesaria la figura de un directivo centrado solo en las estrategias de ciber seguridad de la organización.

Por otro lado, el informe también detecta que la presencia de un equipo de expertos en ciber seguridad disminuye a medida que aumenta la madurez de la compañía. Las soluciones automatizadas, la inteligencia artificial, el mayor conocimiento de la plantilla y el aumento de la ciber seguridad en el ecosistema de proveedores y partners lo hacen posible.

 

8.- El ROI de la ciber seguridad sigue siendo complicado

Para la mayoría de empresas, todavía es complicado medir de forma precisa el retorno de la inversión (ROI, por sus siglas en inglés) en materia de ciber seguridad. Según el informe, las organizaciones no suelen medir los costes indirectos de los ciber riesgos, como la pérdida de productividad, los daños a la reputación y los costes de oportunidades. Estos, sin embargo, pueden tener un gran impacto en la cuenta de resultados.

Otras de las dificultades para medir el ROI son la medición de las probabilidades de riesgo y costes en función a diferentes políticas de ciber seguridad, o cuantificar las mejoras en productividad, reputación, posicionamiento o compromiso con el cliente a través de una estrategia estricta frente a los ciber riesgos.

 

New Call-to-action

 

Comparte

Dejar una opinión