6 minutos de lectura 20 may. 2021

            Hombre y mujer en una calle de una ciudad

Por qué la ciberseguridad podría ser el eslabón perdido para el crecimiento

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.

6 minutos de lectura 20 may. 2021
Temas relacionados Ciberseguridad GISS

Tras la pandemia, los CISO pueden reposicionarse como facilitadores del crecimiento. Pero los primeros resultados de la última EY Global Information Security Survey sugieren que primero deben superar cuatro barreras profundamente arraigadas.

En resumen
  • A medida que las empresas respondían a COVID-19, la amenaza cibernética se volvía más compleja, intensificando la presión sobre los equipos de ciberseguridad.
  • El papel del CISO se encuentra en una encrucijada, ya que los profesionales de la cibernética se esfuerzan por mantener la seguridad de la empresa a la vez que permiten la innovación y el crecimiento.
  • Los equipos de ciberseguridad deben tender nuevos puentes, gestionar la fragmentación de la normativa, comprender una amenaza que evoluciona rápidamente y presentar un argumento convincente para obtener recursos.

La pandemia de COVID-19 fue un punto de inflexión para los equipos de ciberseguridad. Como las organizaciones cambiaron de la noche a la mañana a formas de trabajo remotas y flexibles, los atacantes aprovecharon la oportunidad para explotar las vulnerabilidades de sus defensas. Al mismo tiempo, las empresas implantaron nuevas tecnologías a un ritmo vertiginoso, exigiendo a los equipos de seguridad que actuaran con rapidez, identificaran los puntos débiles y contuvieran las amenazas.

Todo esto intensificó la presión sobre el director de seguridad de la información. Ahora, a medida que las empresas superan la pandemia, los CISO tienen otro papel fundamental: permitir la recuperación y el crecimiento. Los primeros resultados de la última EY Global Information Security Survey (GISS) sugieren que la mayoría de los líderes de ciberseguridad están optando por ver la crisis como una oportunidad para aumentar su perfil en la empresa. En este nuevo mundo, los CISO pueden por fin prescindir de la percepción de que su función es un freno para la innovación y el cambio. Pero hay que encontrar un equilibrio.

"Durante COVID, las empresas introdujeron tecnología para comunicarse con los clientes y apoyar nuevas formas de trabajo, pero esas tecnologías no eran seguras", afirma Kris Lovejoy, líder de ciberseguridad de EY Global Consulting. "Los hackers atacarán las vulnerabilidades del sistema durante los próximos años. Para los profesionales de la ciberseguridad, la pregunta debe ser: ¿Cómo podemos asegurarnos de que nuestro negocio se beneficia de la tecnología, sin dejarnos abiertos a los ataques?"

A medida que los desafíos de la crisis siguen evolucionando, los CISO se encuentran en una encrucijada. Convertirse en un facilitador del crecimiento es esencial, pero es más fácil decirlo que hacerlo. Nuestra serie CISO Imperative está diseñada para ayudarlo en ese viaje, proporcionando respuestas y acciones críticas para replantear el futuro de su organización. En esta introducción a los temas de la GISS 2021, destacamos cuatro barreras que los CISO deben superar primero.

Durante COVID, las empresas introdujeron tecnología para comunicarse con los clientes y apoyar nuevas formas de trabajo, pero esas tecnologías no eran seguras
Kris Lovejoy
EY Global Advisory Cybersecurity Leader

1. La ciberseguridad tiene puentes para arreglar y construir

En el momento más álgido de la pandemia, los equipos de ciberseguridad se vieron sometidos a un escrutinio mientras las empresas respondían al entorno cambiante. Había una necesidad de rapidez y de una actitud de "hazlo"", dice Mike Maddison, líder de ciberseguridad de EY EMEIA Consulting. "¿Pero los equipos de ciberseguridad aportaron soluciones para actuar como facilitadores? Desgraciadamente, en muchos casos, se los consideraba como el obstáculo".

Los resultados emergentes de la GISS de este año sugieren que la relación de la ciberseguridad con otras funciones se ha deteriorado en los últimos 12 meses. Un punto preocupante es que el deterioro de las relaciones es más pronunciado entre las funciones que toman la delantera en la agenda de crecimiento. Aproximadamente la mitad de los encuestados consideran que su relación con la función de marketing es negativa, por ejemplo, frente al 36% de hace un año, mientras que una proporción mayor que el año pasado también dice lo mismo del desarrollo de productos.

Un desafío es que estas funciones orientadas al exterior han tomado el control de sus programas de renovación tecnológica y pueden pasar por alto la ciberseguridad. "Muchos equipos han introducido plataformas basadas en la nube durante la pandemia, introduciendo nuevos riesgos sin discutir los cambios con la ciberseguridad", dice Lovejoy.

A su vez, alrededor de cuatro de cada diez encuestados dicen que una prioridad clave después de COVID-19 es abordar los riesgos introducidos cuando su organización respondió al bloqueo. Además, nuestros resultados sugieren que el problema se está afianzando con el tiempo, ya que los CISO están cada vez más excluidos de las primeras etapas de la transformación estratégica: aproximadamente el 50% dice que se los incorpora en las etapas de planificación o diseño de las nuevas iniciativas empresariales, frente al 63% de hace un año.

2. La fragmentación normativa está agregando una capa adicional de estrés para los CISO

Enfrentados a demandas que compiten por su tiempo y recursos, los CISO están cada vez más preocupados por la regulación de la privacidad y la seguridad. Para las empresas globales, cuyas operaciones se extienden por múltiples jurisdicciones, la actual fragmentación de la normativa es una presión adicional.

Alrededor de uno de cada dos encuestados dice que el cumplimiento puede ser la parte más estresante de su trabajo, y aproximadamente el 55% espera que la regulación se vuelva aún más fragmentada y consuma más tiempo en los próximos años. "Crea una enorme cantidad de sobrecarga: estás respondiendo a la misma pregunta de diferentes maneras", dice Dave Burg, EY Americas Consulting Cybersecurity Leader.

Para agravar el problema, a los CISO les resulta cada vez más difícil acceder a los recursos que necesitan para gestionar la normativa. Casi seis de cada diez afirman que COVID-19 ha aumentado el riesgo de incumplimiento, pero los CISO afirman que la normativa es menos eficaz como palanca para conseguir nuevos fondos. Menos de uno de cada cinco describe la normativa como una forma eficaz de conseguir presupuestos, frente al 29% en 2020.

"La normativa se fragmenta, pero la necesidad principal de las empresas de hoy es transformarse", dice Lovejoy. "Si un CISO dice: 'Necesito más dinero para la normativa', ya no tiene tanto peso como antes".

3. La escala y la complejidad de la amenaza a la ciberseguridad siguen creciendo

Los CISO están decididos a centrarse en el crecimiento y la habilitación del negocio, pero también son conscientes de las amenazas cada vez más sofisticadas a las que se enfrentan. Las vulnerabilidades introducidas por la tecnología de la era de la pandemia son sólo una parte de la historia, ya que los malos actores buscan explotar una serie de nuevos puntos de entrada.

"Los ataques se han convertido en un producto básico", afirma Richard Watson, EY Asia-Pacific Consulting Cybersecurity Leader. "Puedes comprar un programa de ransomware de forma barata y fácil en la dark web. Los virus se han democratizado".

La normativa se fragmenta, pero la principal necesidad de las empresas actuales es transformar
Kris Lovejoy
EY Global Advisory Cybersecurity Leader

La cadena de suministros es una preocupación especial. Sólo uno de cada tres encuestados confía en que puede garantizar que su cadena de suministros es hermética en su capacidad de defensa contra los atacantes, mientras que aproximadamente seis de cada diez advierten que los malos actores están utilizando nuevas estrategias, como la explotación de las vulnerabilidades en las compras.

En general, existe una verdadera preocupación por la escala y la creciente madurez de la amenaza. Menos de la mitad de los encuestados se sienten seguros a la hora de gestionar los malos actores a los que se enfrentan, y más de cuatro de cada diez nunca han estado tan preocupados como ahora por la capacidad de su organización para repeler la amenaza cibernética.

4. La inflexibilidad presupuestaria abre la puerta a incumplimientos evitables

Más de un tercio de los encuestados afirman que las restricciones presupuestarias están haciendo inevitable una violación de la ciberseguridad, mientras que aproximadamente el 40% se preocupa de que los costos no se tengan debidamente en cuenta en los planes de inversión estratégica. De hecho, cuatro de cada diez advierten que su presupuesto es insuficiente para hacer frente a las nuevas amenazas que han surgido en los últimos 12 meses.

"Ya no hay un cheque en blanco para la ciberseguridad", dice Watson. "Los recursos son difíciles de conseguir y la gente está atrapada en su país de origen. No pueden volar por el mundo para resolver proyectos complejos".

Para abordar esta cuestión es necesario que los CISO presenten un argumento más fuerte y más claro para los recursos, expresado en el lenguaje de los objetivos estratégicos de su organización. Pero también será necesario que las empresas introduzcan más flexibilidad en el proceso de fijación del presupuesto. En la actualidad, aproximadamente el 40% de los CISO afirman que los costos de ciberseguridad se comparten en toda la organización, pero alrededor del 15% lo hacen de forma dinámica, en función de cómo se utilicen los recursos.

Conclusión: Los CISO están aprovechando el impulso

Los CISO se encuentran en una encrucijada, pero existe un impulso generalizado para el cambio. Dave Burg, EY Americas Cybersecurity Leader, señala, por ejemplo, que muchos equipos acumularon una gran credibilidad durante la crisis. "Sé de muchos que fueron vistos como súper estrellas", dice. "Pueden construir en base a esto".

Este artículo presenta los primeros resultados de la EY Global Information Security Survey de este año. Se basa en una muestra de 642 altos ejecutivos de ciberseguridad, de un total que superará los 1.000 cuando se cierre el trabajo de campo. Los encuestados trabajan para empresas de todo el mundo, cada una de las cuales supera los 1.000 millones de dólares de ingresos anuales.

Resumen

Este artículo presenta las primeras conclusiones de la EY Global Information Security Survey de este año y describe cuatro obstáculos a los que se enfrentan los CISO en su esfuerzo por convertirse en facilitadores del crecimiento.

Acerca de este artículo

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.

Temas relacionados Ciberseguridad GISS