Estrategia de ciberseguridad en las organizaciones: cómo simplificar los procesos para su implementación.
Los ciberdelincuentes son cada vez más sofisticados: su objetivo es encontrar vulnerabilidades en los sistemas y redes de las empresas para luego explotarlas para su beneficio. Las consecuencias de un ciberataque son mayores a medida que aumenta la complejidad e interdependencia de los sistemas. Sin embargo, muchos de los riesgos con los que nos enfrentamos pueden prevenirse si ponemos en marcha distintas prácticas y controles.
Les presentamos una nueva edición de la encuesta global Digital Trust Insights, que revela dos ejes clave para 2022 en materia de ciberseguridad. Por un lado, las empresas aumentarán su presupuesto cibernético y por otro lado se espera que este año aumenten los ciberataques, por encima de los niveles récord de 2021.
Si bien la mayoría de los CEOs encuestados para la presente edición manifestó como “significativo” su nivel de compromiso para mitigar los riesgos relacionados con la ciberseguridad; no opinan de la misma manera el resto de los ejecutivos, que perciben un involucramiento del CEO y la alta dirección más reactiva que proactiva en esta materia, sobre todo tras un incidente de seguridad con impacto en el negocio o ante requerimientos regulatorios.
No obstante, el informe señala que esta brecha va reduciéndose ya que para el 46% de los entrevistados en el mundo, las interacciones con el CEO en materia de ciberseguridad han aumentado en los últimos dos años.
Los directores ejecutivos tenían más probabilidades que el resto de los directores y gerentes de calificar como "significativo" su nivel de apoyo. Por ejemplo, a nivel global el 37% de los CEOs afirmó que brindan un apoyo significativo para "garantizar los recursos adecuados, la financiación y la prioridad suficiente" para la ciberseguridad, mientras que solo el 30% de los no CEOs estuvieron de acuerdo en que sus directores ejecutivos lo hicieran. Para Latinoamérica dichos valores estuvieron en torno al 34% para los CEOs y 38% para los no CEOs.
El 34% de los CEO encuestados en el mundo manifiesta que brinda una ayuda significativa al liderazgo de ciberseguridad al "reducir la incertidumbre de los inversores con respecto a los riesgos cibernéticos organizacionales", mientras que sólo el 29% de los no CEO está de acuerdo, en cambio; en Latinoamérica la cifra fue similar, con un 35% para la respuesta de los CEOs y un valor de 31% para los no CEOs.
El 36% de los CEOs encuestados a nivel global asegura que se comunican con confianza con clientes y socios comerciales, mientras que para Latinoamérica esto representó un 52%.
A medida que las conexiones digitales se multiplican, se forman redes cada vez más complejas y sofisticadas. Pero los procesos necesarios para administrar y mantener todas estas conexiones, incluida la ciberseguridad, también se están volviendo más complejos. Entonces nos preguntamos, ¿Son las compañías demasiado complejas para asegurarlas? Aproximadamente, el 75% del total de los encuestados afirma que hay “demasiada complejidad operativa” innecesaria y evitable, que plantea riesgos cibernéticos y de privacidad "preocupantes". De forma similar, en Latinoamérica arrojó un valor aproximado del 68% mientras que para Argentina fue del 63%.
La infraestructura de datos y las arquitecturas tecnológicas son algunos de los principales factores que más contribuyen a esta complejidad. Para los entrevistados, esta circunstancia se traduce en pérdidas económicas, menor capacidad de innovación y menor capacidad de recuperación ante ciberataques o fallas tecnológicas. Debido a que algunas complejidades son necesarias, la empresa debe optimizar y simplificar sus operaciones y procesos de manera consciente y enfocarse primero en simplificar donde los beneficios son mayores para toda la organización.
Las empresas que manifiestan haber abordado procesos de simplificación en su organización, se han centrado en consolidar a los proveedores de tecnología y de reajustar la combinación de servicios internos y gestionados, reorganizar las funciones y las formas de trabajo y crear un marco de gobierno de datos integral. Además, cada vez son más los CISO y CIO que analizan detenidamente sus inversiones, para tratar de consolidar a sus proveedores de tecnología y aplicaciones y revertir, así, el entramado de software y tecnologías diferentes que dificultan su gestión, haciéndolo más vulnerable. Por último, el paso a la nube puede ayudar a simplificar los procesos de negocio y la arquitectura IT, proporcionar flexibilidad y acelerar la innovación. Si se hace bien, las transformaciones en la nube pueden ser seguras, eficientes y exitosas.
Los líderes reconocen la importancia de verificar y salvaguardar su información comercial. Cuando se les preguntó acerca de cuál es la misión de la ciberseguridad, la mayoría coincidió en que es una forma de establecer confianza con los clientes con respecto a cómo usamos y protegemos sus datos de forma ética. No obstante, la complejidad de los datos puede obstaculizar la capacidad de cualquier organización para utilizar eficazmente la información que recopila y genera. La infraestructura y gobierno de datos se clasifican como los dos aspectos más complejos y a su vez innecesarios de las operaciones comerciales.
Aproximadamente tres cuartas partes afirma que la complejidad en estas áreas plantea preocupaciones y riesgos para la ciberseguridad y la privacidad. El primer paso para las organizaciones es establecer una buena base que llamamos confianza en los datos: asegurarse que sean precisos, verificables y seguros para la toma de decisiones comerciales.
Solo alrededor de un tercio de los encuestados, tanto a nivel global como en Latinoamérica, informa tener procesos de confianza de datos maduros y completamente implementados en cuatro áreas clave: gobierno de datos, descubrimiento, protección y minimización. De lo contrario, casi una cuarta parte de nuestros encuestados afirma que no cuenta con ningún proceso formal de confianza en los datos.
Asegurar los datos contra la manipulación y el robo también es fundamental para el éxito, sin embargo, solo alrededor de un tercio de los encuestados informó haber implementado procesos formales de seguridad de datos, que incluyen el cifrado y el intercambio seguro (34%), en Latinoamérica corresponde un 37% y en Argentina un 20%.
Solo el 40% de los encuestados afirma que comprende a fondo el riesgo de filtraciones de datos a través de terceros, utilizando evaluaciones formales de toda la empresa. En Latinoamérica arrojó un valor de 44% y en Argentina del 30%. Casi una cuarta parte a nivel global tiene poco conocimiento de todos estos riesgos, un punto débil que los ciberatacantes están dispuestos a explotar. Por su parte el 56% del registro global espera un aumento en los incidentes notificables en 2022 por ataques a la cadena de suministro de software, en tanto que un 45% corresponde a Latinoamérica y un 32% a Argentina. Sin embargo, solo el 34% de los encuestados a nivel global ha evaluado formalmente la exposición de su empresa a este riesgo, América Latina un 36% y en Argentina es del 23%. El 57% espera un aumento en los ataques a los servicios en la nube, pero solo el 37% manifiesta una comprensión de los riesgos de la nube en base a evaluaciones formales; en cambio en Latinoamérica corresponde un 38% y en Argentina un 23%.
Una organización podría ser vulnerable a un ataque a la cadena de suministro incluso cuando sus propias ciberdefensas son buenas, y los atacantes simplemente encuentran nuevos caminos hacia la organización a través de sus proveedores. Detectar y detener un ataque basado en software puede ser muy difícil y complejo. Eso es porque cada componente depende de otros como bibliotecas de códigos, paquetes y módulos que se integran en el software y son necesarios para su funcionamiento.
Simplificar el volumen de proveedores de tecnología y otros terceros, así como aumentar su supervisión y ahondar en sus evaluaciones disminuye la complejidad e incrementa la capacidad de conocer el grado de seguridad existente en el esquema de terceros de una empresa.
El 69% de las organizaciones en el mundo prevé aumentar sus inversiones en ciberseguridad para 2022 en comparación con el 55% del año 2021. Para la región de Latinoamérica el valor fue del 71%. A nivel global, más de una cuarta parte (26%) estima un aumento del gasto cibernético de un 10% o más, mientras que en Latinoamérica la cifra es mayor (32%). Solo el 12% indicó un gasto igual al del año pasado (a nivel global), en tanto que para Latinoamérica dicha opción representó un 7%.
Las organizaciones saben que los riesgos relacionados al ciberdelito son cada vez mayores. Más del 50% espera un aumento en los ciberincidentes para 2022, por encima de los niveles de 2021. En lo que respecta a Latinoamérica y en Argentina en particular, los números fueron bastante similares, arrojando en promedio 46% y 41% respectivamente.
La encuesta Global Digital Trust Insights 2022 (antes Encuesta Global de Seguridad de la Información (GISS) fue realizada por PwC en julio y agosto de 2021. Los resultados analizados en este informe se basan en las respuestas de 3.602 ejecutivos de negocios, tecnología y seguridad (CEO, CFO, CISO y CIO) en 66 países.
62% de los encuestados son ejecutivos de empresas grandes (us$ 1.000 millones o más en ingresos). El 33% pertenece a empresas con ingresos de us$ 10.000 millones o más.
Los participantes pertenecen a diferentes industrias: tecnología, medios, telecomunicaciones (23%), mercados minoristas y de consumo (16%), servicios financieros (20%), manufactura industrial (22%), energía (8%), salud (7%) y servicios públicos (3%).
Un 33% proviene de Europa Occidental, un 26% de América del Norte, un 18% de Asia Pacífico, un 10% de América Latina, un 4% de Europa del Este y un 4% de Medio Oriente.