Economía

80% de las juntas directivas no hacen de la ciberseguridad un tema estratégico

Foto de archivo

Después de un año en que las organizaciones fueron sacudidas por una serie de violaciones de gran escala a su ciberseguridad, la encuesta de seguridad de la información global de EY 2018-19 “¿Es la ciberseguridad más que protección?” muestra que esta sigue aumentando su presencia en la agenda de las juntas directivas y la alta gerencia.

La encuesta realizada a más de 1,400 líderes de riesgo y seguridad cibernética de algunas de las organizaciones más grandes y reconocidas del mundo, examina algunas de las preocupaciones más relevantes sobre la seguridad cibernética, los riesgos asociados y los esfuerzos para gestionarlos.

La encuesta revela que el 87% de las organizaciones opera con un presupuesto limitado para garantizar el nivel de ciberseguridad y resiliencia y que el 55% de las organizaciones no hacen de la protección cibernética de la organización un elemento integral de su estrategia de negocios y sus planes de ejecución. Sorprendentemente, es más probable que las compañías más grandes se queden cortas en este punto que las organizaciones más pequeñas (58% versus 54%).

Sin embargo, los presupuestos de seguridad cibernética están en aumento, ya que se revela que las compañías más grandes ven probable el aumento de su presupuesto en el fortalecimiento de la ciberseguridad durante este año (63%) y el año próximo (67%), y las más pequeñas 50% y 66%, respectivamente.

La mayoría de las organizaciones (77%) ahora buscan ir más allá de las técnicas básicas de seguridad cibernética para perfeccionar sus capacidades, haciendo uso de tecnologías avanzadas como inteligencia artificial, automatización robótica de procesos y analítica de datos, entre otras. Estas organizaciones continúan trabajando en sus aspectos esenciales de ciberseguridad, pero también están reconsiderando su marco de trabajo y arquitectura frente a este tema para soportar la estrategia de negocio de manera más efectiva y eficiente.

Sin embargo, la encuesta encontró que sólo el 8% de los encuestados considera que su función de seguridad de la información satisface las necesidades del negocio en la actualidad. Todas las organizaciones encuestadas están pasando por proyectos de transformación digital y están aumentando su gasto en tecnologías emergentes. El estudio revela que la computación en la nube (52%), el análisis de ciberseguridad (38%) y la computación móvil (33%) son las prioridades más altas para la inversión en ciberseguridad en tecnologías emergentes durante este año.

Juan Mario Posada, líder de Asesoría en Ciberseguridad de EY Colombia, afirma que: “las organizaciones están invirtiendo cada vez más en tecnologías emergentes como parte de sus programas de transformación digital, y si bien han creado nuevas posibilidades de negocio, también se generan nuevas vulnerabilidades y amenazas. Las compañías deben ser conscientes de que desarrollar un nivel de confianza con los clientes es fundamental para el éxito de sus programas de transformación. Para construir esta confianza, la seguridad cibernética debe estar integrada en el ADN de la organización, comenzando por convertirla en una parte integral de la estrategia empresarial y, como no, de la agenda de la alta gerencia».

¿Es necesario ser víctima de un ataque para hacer de los riesgos cibernéticos una prioridad? Las organizaciones admiten que es poco probable que aumenten sus prácticas de ciberseguridad o que gasten más dinero a menos que sufran algún tipo de ataque que cause un impacto muy negativo. Dentro de este entorno de las organizaciones, los empleados inconscientes se clasifican como la mayor debilidad (34%), sumado a que la mayoría de las organizaciones podrían no identificar todas las violaciones e incidentes de las que son víctimas (82%). Otras vulnerabilidades que se resaltan en el estudio son:

-Controles de seguridad obsoletos (26%)
-Acceso no autorizado (13%)
-Uso de servicios de computación en la nube (10%)

Adicional a lo anterior, considerando que sólo el 8% considera que su función de seguridad cubre las necesidades manifiestas, no es menos relevante que el 36% de los encuestados consideran poco probable que cuenten con las capacidades de detectar oportunamente un ataque sofisticado, mientras que menos del 10% cree que tienen programas de gestión de seguridad maduros.

Además, muchas organizaciones (82%) no tienen claro si están identificando exitosamente violaciones e incidentes. Entre las organizaciones que han sido afectadas por un incidente en el último año, menos de un tercio (31%) dice que su función de seguridad descubrió la situación que los comprometía.

¿Puede la ciberseguridad ser determinante en el cumplimiento de los planes estratégicos de las organizaciones?
Hoy en día las compañías están convencidas de que cuidar el riesgo cibernético y desarrollar la ciberseguridad desde el principio es imperativo para el éxito en la era digital. Según la encuesta de EY, sólo el 18% de las organizaciones asegura que la seguridad de la información influye totalmente en la estrategia de negocios de forma regular, mientras que el 60% de las organizaciones afirma que la persona directamente responsable de la seguridad de la información no es parte de los comités de la alta gerencia o de la junta directiva.

Sin embargo, más del 70% de las organizaciones asegura que sus líderes cuentan un entendimiento integral de la seguridad o están tomando medidas positivas para mejorar su comprensión.

«Creemos firmemente que en el futuro, la confianza digital será la base sobre la cual se creará el valor comercial. Para lograrlo, las organizaciones deben ir más allá del pensamiento en silos sobre la ciberseguridad como un problema de TI e implementar la seguridad desde el diseño (security by design). Esto aumentará la resistencia cibernética para dar a las organizaciones la confianza para aprovechar así las oportunidades emergentes y gestionar los riesgos cibernéticos», afirma Juan Mario Posada.