1. La ciberseguridad tiene puentes para arreglar y construir
En el momento más álgido de la pandemia, los equipos de ciberseguridad se vieron sometidos a un escrutinio mientras las empresas respondían al entorno cambiante. Había una necesidad de rapidez y de una actitud de "hazlo"", dice Mike Maddison, líder de ciberseguridad de EY EMEIA Consulting. "¿Pero los equipos de ciberseguridad aportaron soluciones para actuar como facilitadores? Desgraciadamente, en muchos casos, se los consideraba como el obstáculo".
Los resultados emergentes de la GISS de este año sugieren que la relación de la ciberseguridad con otras funciones se ha deteriorado en los últimos 12 meses. Un punto preocupante es que el deterioro de las relaciones es más pronunciado entre las funciones que toman la delantera en la agenda de crecimiento. Aproximadamente la mitad de los encuestados consideran que su relación con la función de marketing es negativa, por ejemplo, frente al 36% de hace un año, mientras que una proporción mayor que el año pasado también dice lo mismo del desarrollo de productos.
Un desafío es que estas funciones orientadas al exterior han tomado el control de sus programas de renovación tecnológica y pueden pasar por alto la ciberseguridad. "Muchos equipos han introducido plataformas basadas en la nube durante la pandemia, introduciendo nuevos riesgos sin discutir los cambios con la ciberseguridad", dice Lovejoy.
A su vez, alrededor de cuatro de cada diez encuestados dicen que una prioridad clave después de COVID-19 es abordar los riesgos introducidos cuando su organización respondió al bloqueo. Además, nuestros resultados sugieren que el problema se está afianzando con el tiempo, ya que los CISO están cada vez más excluidos de las primeras etapas de la transformación estratégica: aproximadamente el 50% dice que se los incorpora en las etapas de planificación o diseño de las nuevas iniciativas empresariales, frente al 63% de hace un año.
2. La fragmentación normativa está agregando una capa adicional de estrés para los CISO
Enfrentados a demandas que compiten por su tiempo y recursos, los CISO están cada vez más preocupados por la regulación de la privacidad y la seguridad. Para las empresas globales, cuyas operaciones se extienden por múltiples jurisdicciones, la actual fragmentación de la normativa es una presión adicional.
Alrededor de uno de cada dos encuestados dice que el cumplimiento puede ser la parte más estresante de su trabajo, y aproximadamente el 55% espera que la regulación se vuelva aún más fragmentada y consuma más tiempo en los próximos años. "Crea una enorme cantidad de sobrecarga: estás respondiendo a la misma pregunta de diferentes maneras", dice Dave Burg, EY Americas Consulting Cybersecurity Leader.
Para agravar el problema, a los CISO les resulta cada vez más difícil acceder a los recursos que necesitan para gestionar la normativa. Casi seis de cada diez afirman que COVID-19 ha aumentado el riesgo de incumplimiento, pero los CISO afirman que la normativa es menos eficaz como palanca para conseguir nuevos fondos. Menos de uno de cada cinco describe la normativa como una forma eficaz de conseguir presupuestos, frente al 29% en 2020.
"La normativa se fragmenta, pero la necesidad principal de las empresas de hoy es transformarse", dice Lovejoy. "Si un CISO dice: 'Necesito más dinero para la normativa', ya no tiene tanto peso como antes".
3. La escala y la complejidad de la amenaza a la ciberseguridad siguen creciendo
Los CISO están decididos a centrarse en el crecimiento y la habilitación del negocio, pero también son conscientes de las amenazas cada vez más sofisticadas a las que se enfrentan. Las vulnerabilidades introducidas por la tecnología de la era de la pandemia son sólo una parte de la historia, ya que los malos actores buscan explotar una serie de nuevos puntos de entrada.
"Los ataques se han convertido en un producto básico", afirma Richard Watson, EY Asia-Pacific Consulting Cybersecurity Leader. "Puedes comprar un programa de ransomware de forma barata y fácil en la dark web. Los virus se han democratizado".