Crimen cibernético. ¿Qué es lo que más daña, la pérdida de datos o la confianza?

Por EY Global

Ernst & Young Global Ltd.

5 minutos de lectura 9 abr. 2019

La confianza puede ser destruida por un ciberataque. Para mantener o restablecer la confianza, las estrategias cibernéticas deben proteger, optimizar y habilitar a una organización.

Las nuevas tecnologías están exponiendo a las empresas de servicios financieros a mayores vulnerabilidades. Si bien la ciberseguridad permite la innovación y el cambio, el impacto continuo de los ciberataques amenaza con erosionar la confianza en muchas instituciones. Y muchas organizaciones aún no han proporcionado los niveles de resiliencia y protección cibernética necesarios para mantener o restaurar la confianza de sus clientes y partes interesadas.

En los últimos años, ha habido una importante desconexión de confianza entre el público y las principales instituciones. Esta situación se ve agravada por las tendencias macro y geopolíticas, así como por la preocupación por la privacidad de los datos y la ciberseguridad. A medida que los clientes proporcionan más datos, resulta más costoso para las empresas ocuparse de ellos. No sólo hay un impacto operativo inmediato, sino que la reputación de la marca a largo plazo probablemente estará en riesgo.

Asegurar la confianza es fundamental para las empresas que buscan mantener el valor a largo plazo de sus negocios, productos y servicios.  De hecho, el Barómetro de la Confianza Edelman 2018 revela que la creación de confianza es el trabajo más importante para los CEOs de hoy en día. La ciberseguridad es una prioridad cada vez mayor.

La Encuesta Global de Seguridad de la Información (GISS) muestra que la ciberseguridad también está encabezando la agenda de la junta directiva, ya que las empresas trabajan para optimizar sus programas. En la era digital de hoy en día, muchos todavía tienen un largo camino por recorrer para afinar sus capacidades.

La ciberseguridad es una prioridad cada vez más importante

6%

de las compañías de servicios financieros dicen que su función de seguridad de la información satisface actualmente las necesidades de su organización.

La encuesta revela que "sólo el 6% de las empresas de servicios financieros dicen que su función de seguridad de la información satisface actualmente las necesidades de su organización, pero el 65% planea hacer las mejoras necesarias". En cierto sentido, estos resultados son chocantes. Pero, si se reflexiona sobre todos los choques del sistema, el ritmo continuo de los nuevos ciberataques y el aumento del riesgo para la marca de una empresa (pérdida de datos, una violación o reputación), las cifras no son sorprendentes. ¿Las empresas de servicios financieros realmente creen que su equipo de seguridad es el mejor de su clase en la protección de su organización? La mayoría diría que no. Y para aquellos que tienen un programa de riesgo cibernético, el ritmo de mejora debe aumentar.

Las organizaciones de este sector están más preocupadas por la inmadurez de sus procesos de seguridad de la información en las áreas de arquitectura (citada como inexistente o muy inmadura por el 18%), métricas y elaboración de reportes (18%) y gestión de activos (17%), basadas en los resultados de las encuestas. Existe la preocupación de que la cibercapacitación no esté tan involucrada como debería estarlo en la transformación en curso. La mayoría de las organizaciones están en un atravesando por un proceso de transformación digital y están hablando de añadir inteligencia artificial (IA), robótica y datos de clientes más valiosos a sus modelos operativos. Sin embargo, los datos, métricas y reportes cibernéticos deben estar incorporados en el sistema desde el principio para lograr un cambio transformacional ágil, lo cual claramente no es el caso en este momento. Si usted construye los sistemas y el nivel de seguridad adecuados en la fase de diseño, es más fácil abordar los vacíos y defectos en el ciclo de vida.

La preparación requiere un nivel de educación desde arriba. Sin embargo, existe una preocupación constante por la falta de talento en esta área. De hecho, el 31% de los participantes en la encuesta advierten que la escasez de personal cualificado es un obstáculo potencial. Los empleados también pueden ser una amenaza importante para una organización. Algunas funciones de ciberseguridad pueden automatizarse mediante el uso de la robótica y la IA, lo que reduce los riesgos y a menudo mejora la eficiencia. La innovación presenta una de las mayores oportunidades para la industria, y la tecnología puede ayudar a acelerar el nivel de cambio organizacional. Un alto grado de confianza en los negocios se correlaciona con el papel crítico de liderar el cambio.

Informes inadecuados a nivel de la junta directiva

84%

de las empresas no están recibiendo los informes adecuados a nivel de la junta directiva para el riesgo cibernético.

Mantener el tablero a oscuras

Aunque la mayoría de las funciones cibernéticas son internas, los niveles de información de la junta directiva son insuficientes. La encuesta muestra que el 84% de las empresas no están obteniendo informes adecuados a nivel de consejo para el riesgo cibernético. Los servicios financieros dependen cada vez más de los datos. Si los comités de riesgos y auditoría de las juntas directivas carecen de los datos que necesitan, ¿cómo pueden influir eficazmente en el cambio?

Si su empresa está expuesta a un ataque o a una violación de datos - y carece de una visión clara de los riesgos - ¿cuán preparada estará?

Si usted da un paso atrás, el riesgo cibernético es grande y va en aumento, y no desaparece. Si su empresa está expuesta a un ataque o a una violación de datos - y carece de una visión clara de los riesgos - ¿cuán preparada estará? ¿Cuáles son las consecuencias del riesgo reputacional y la pérdida de confianza en su organización? Una y otra vez vemos que cuando las organizaciones sufren una violación, no están bien ensayadas. Las simulaciones y los ejercicios son un medio poderoso para responder al estrés. Cuando se menciona un incidente en los medios de comunicación, se piensa que debería haber un enfoque diferente de la respuesta.

La tecnología está cambiando la forma de la banca, dejando a los bancos más expuestos. Vemos a una serie de empresas que, en última instancia, establecen bancos "Greenfield" para apoyar a sus ladrillos y mortero. A medida que crezca la ciberseguridad, será fundamental integrarlos en el cambio. Sin embargo, muchas veces oímos: "La seguridad cibernética nos retrasará. No tenemos tiempo para esperar. Necesitamos los resultados ahora". Eso es una preocupación.

Pensemos en el ecosistema, no sólo en los servidores

Un área que no se destaca en la encuesta es el ecosistema. La cadena de suministro dentro de los servicios financieros es muy compleja y presenta riesgos para las empresas que dependen de la tercerización. Cada vez hay más pruebas de que los atacantes se dirigen a terceros que se encuentran en el extremo débil de ese ecosistema, accediendo a los datos como entrada a la industria de servicios financieros. Es importante que las empresas tengan un buen manejo de almacenamiento de los datos de sus clientes si quieren asegurar la cadena de suministro del ecosistema.

A nivel mundial, la protección de la privacidad del cliente y de los datos personales forma parte del ciberespacio y no cambiará. Las organizaciones necesitan pensar en cómo están utilizando los datos, no sólo en cómo protegerlos con la ley, sino también en el aspecto ético. Sí, quieres un valor y necesitas cumplir con las regulaciones, pero ¿lo está haciendo de la manera correcta?

En los próximos 12 meses, las empresas de servicios financieros deben estar preparadas, desarrollando estrategias sostenibles, manteniendo los datos seguros a toda costa y compartiéndolos externamente con socios de confianza. El reto será proteger su empresa, optimizar la ciberseguridad y acelerar el ritmo de crecimiento.

Por Steve Holt, Socio EY, Servicios Financieros EMEIA

Resumen

Cuando hay riesgo, también hay recompensa, y no hacer nada presenta el mayor riesgo. Aquellas empresas con plataformas cibernéticas robustas pueden crecer y construir la confianza a largo plazo que creemos será una ventaja competitiva crítica en el futuro.

Acerca de este artículo

Por EY Global

Ernst & Young Global Ltd.