The Cybersecurity Imperative: la gestión de los ciberriesgos en un mundo digital cambiante

Los riesgos cibernéticos son uno de los principales desafíos para cualquier negocio en la actualidad. A nivel mundial, la ciberseguridad se llevará casi seis billones de dólares de presupuesto en 2021. Casi todas las compañías y organizaciones son conscientes de cómo un ciber incidente puede interrumpir las operaciones, dañar la reputación o provocar importantes pérdidas de ingresos. Aun así, las formas de afrontar los ciberriesgos todavía se alejan, en muchos casos, de lo ideal.

Aspectos como el desconocimiento, la poca implicación de los directivos o la limitación de las políticas de ciberseguridad al departamento de IT todavía son habituales. El informe The Cybersecurity Imperative, elaborado por The Wall Street Journal con la participación de Willis Towers Watson, analiza el estado de la ciber seguridad de las empresas. Estas son sus principales conclusiones.

La gestión de los ciberriesgos en las empresas

1.- Más digitalización, más ciberriesgos

La velocidad de la transformación digital aumenta y, con ella, aumentan los riesgos cibernéticos. A medida que las empresas adoptan nuevas tecnologías, servicios en la nube, plataformas abiertas y trabajaban en ecosistemas digitales, crecen los ciberriesgos. El 81% de las empresas consultadas para el informe había sufrido un ataque de malware en los últimos 12 meses. En los próximos dos años, se dispararán los riesgos asociados a clientes y proveedores (+247%), a la cadena de suministro (+146%) y los ataques de denegación de servicio o DoS (+144%).

2.- Los riesgos de frenar el progreso

La transformación digital parece imparable. Como hemos visto, con ella, los ciberriesgos se disparan. Por ello, las organizaciones deben hacer un esfuerzo extra para que las políticas de ciberseguridad evolucionen al mismo ritmo que la digitalización. Según el informe, las empresas que se encuentran en las primeras fases de elaboración de su ciberdefensa tienen un 27% más de probabilidades de sufrir un ataque importante que aquellas que tienen políticas avanzadas de ciberseguridad.

3.- El mayor riesgo sigue siendo interno

Casi seis de cada 10 de las empresas que participaron en el informe consideran que existen importantes riesgos derivados de la acción de hackers y ciber criminales. El 44% señala también la amenaza de la ingeniería social. Pero más del 90% sigue asegurando que los mayores riesgos se producen por culpa de personal que no ha recibido una preparación adecuada en ciberseguridad. Este riesgo interno se complica aun más si tenemos en cuenta a terceros como partners, proveedores o vendedores.

4.- Aumenta la inversión

Durante el último año, las empresas aumentaron su gasto en ciberseguridad un 7% para hacer frente a los riesgos crecientes. Para 2019, se prevé un nuevo aumento del gasto cercano al 13%. Las compañías que más han incrementado su inversión en ciberseguridad son las plataformas, las empresas de energía y servicios públicos, los mercados de consumo, los seguros y los servicios financieros.

Este aumento del gasto se repartirá de forma desigual. Las grandes compañías, con ingresos superiores a los 1.000 millones de dólares anuales, incrementarán el gasto por encima del 30%. Además, las organizaciones de Corea del Sur, México, Australia, China, Singapur, Argentina y Estados Unidos son las que más aumentarán su inversión en ciberseguridad.

5.- La tecnología no lo es todo

Más de uno de cada tres dólares del presupuesto del próximo año en ciberseguridad será destinado a elementos tecnológicos. Pero, según el informe, el 31% se destinará a procesos y el 30% a personal. Las organizaciones destinarán buena parte del gasto a reducir los ciberriesgos de tecnologías emergentes como blockchain, internet de las cosas e inteligencia artificial.

6.- España, entre los países más seguros

El informe de The Wall Street Journal establece un ranking de países en función del índice de madurez en ciberseguridad. La clasificación está liderada por Estados Unidos, seguido de Corea del Sur, Japón, Francia, Australia y España. Las puntuaciones más bajas están en mercados como México, India, Argentina y Brasil y en casos concretos de compañías alemanas y suizas. La mayoría de organizaciones están además apostando por reforzar sus políticas de prevención y detección de ciber riesgos, en lugar de por medidas de respuesta y resistencia.

La madurez de las políticas de ciberseguridad es importante. El informe señala una correlación entre los niveles de madurez y la incidencia de los ciber ataques. Por ejemplo, las organizaciones poco maduras tienen un 21,1% de probabilidades de que un ataque provoque pérdidas por encima de un millón de dólares. Entre las organizaciones maduras, la probabilidad baja al 15,6%.

7.-La ciberseguridad también está en la organización

La presencia de la ciberseguridad en la estructura organizativa de la compañía es importante. La figura del CISO (de las siglas en inglés de jefe de ciberseguridad) es algo común en las organizaciones más maduras. “El puesto de un CISO es uno de esos roles interesantes. Todo el mundo cree que es muy importante, pero nadie lo quiere. Es como la persona que nadie ha invitado a la fiesta”, señala en el informe Matthew Johnson, CISO, Willis Towers Watson. Y es que, entre las organizaciones poco maduras, las funciones de ciberseguridad solo recaen en un CISO en el 20% de los casos.

A menudo, la responsabilidad final de la ciberseguridad de una compañía recae en la junta. Sin embargo, los cambios normativos más recientes, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, hacen que cada vez sea más necesaria la figura de un directivo centrado solo en las estrategias de ciberseguridad de la organización.

Por otro lado, el informe también detecta que la presencia de un equipo de expertos en ciberseguridad disminuye a medida que aumenta la madurez de la compañía. Las soluciones automatizadas, la inteligencia artificial, el mayor conocimiento de la plantilla y el aumento de la ciberseguridad en el ecosistema de proveedores y partners lo hacen posible.

8.- El ROI de la ciberseguridad sigue siendo complicado

Para la mayoría de empresas, todavía es complicado medir de forma precisa el retorno de la inversión (ROI, por sus siglas en inglés) en materia de ciberseguridad. Según el informe, las organizaciones no suelen medir los costes indirectos de los ciberriesgos, como la pérdida de productividad, los daños a la reputación y los costes de oportunidades. Estos, sin embargo, pueden tener un gran impacto en la cuenta de resultados.

Otras de las dificultades para medir el ROI son la medición de las probabilidades de riesgo y costes en función a diferentes políticas de ciberseguridad, o cuantificar las mejoras en productividad, reputación, posicionamiento o compromiso con el cliente a través de una estrategia estricta frente a los ciberriesgos.