¿Puede la complejidad ser un riesgo para la ciberseguridad de una empresa?

EY Global Cybersecurity Leadership Insights 2023

La creciente amenaza de los ciberataques, a pesar del aumento de la inversión en ciberseguridad, confirma que solo uno de cada cinco responsables de seguridad de la información (CISO) y directores ejecutivos (C-suite) considera que su estrategia de ciberseguridad es eficaz para hacer frente a los retos actuales y futuros.

Los resultados del estudio de EY Global Cybersecurity Leadership Insights 2023 revelan que hay motivos para la preocupación. Las organizaciones se enfrentan a una media de 44 incidentes de ciberseguridad al año y los tiempos de detección y respuesta son lentos: tres cuartas partes de las organizaciones tardan una media de seis meses o más en detectar y responder a un incidente. Mientras tanto, el coste económico de los ataques y las repercusiones —financieras, regulatorias y de reputación— son cada vez mayores.

Tras analizar las respuestas por parte de 500 empresas de 25 países (incluida España), hemos identificado cuáles son las organizaciones que cuentan con una estrategia de ciberseguridad más eficaz, que hemos denominado ‘Empresas seguras’. En comparación con sus homólogas menos protegidas, las ‘Empresas vulnerables’, las empresas seguras tienen menos incidentes de ciberseguridad y son más rápidas a la hora de detectar y responder ante ellos. Estas empresas también están más satisfechas con su estrategia de ciberseguridad actual (51% frente a 36%) y se sienten más preparadas para las amenazas del futuro (53% frente a 41%).

Las ‘Empresas seguras’ destacan en tres aspectos:

• Adoptan rápidamente las tecnologías emergentes y la automatización para coordinar su tecnología de ciberseguridad y agilizar los procesos.
• Disponen de estrategias específicas para gestionar infraestructuras complejas y combinadas, tanto en la nube como on-premise o gestionadas por terceros.
• Han integrado la ciberseguridad en todos los niveles de la organización: alta dirección, empleados en general, pasando por el equipo de ciberseguridad.

1. Adoptar las tecnologías emergentes en materia de ciberseguridad para simplificar la seguridad

El estudio revela que se avecina una oleada de implantación de nuevas tecnologías en el ámbito de la ciberseguridad: un 84% de las organizaciones está incorporando actualmente dos o más tecnologías emergentes a sus soluciones de ciberseguridad.

Pero, paradójicamente, es la propia escala y complejidad de las soluciones de seguridad lo que ahora se identifica como una de las mayores amenazas para lograr un sistema de ciberseguridad eficiente, porque limita la claridad.

Teniendo en cuenta las respuestas de la encuesta, parece evidente que es recomendable consolidar la tecnología en una única plataforma y reducir el número de productos de proveedores para facilitar la integración, permitir que los datos fluyan más fácilmente y ayudar a los equipos de seguridad a detectar incidentes con mayor eficacia.

Los responsables de ciberseguridad necesitan asegurarse de que cuentan con una estrategia tecnológica que proporcione seguridad a través de la simplificación. Para ello, deberían:

• Unificar y optimizar las tecnologías de ciberseguridad existentes para reducir el coste total y establecer las condiciones para lograr operaciones rápidas y sencillas.
• Integrar tecnologías emergentes de manera más rápida y sin introducir nuevos riesgos ni complicar el entorno tecnológico general.
• Considerar enfoques basados en la automatización, como DevSecOps y SOAR.
• Buscar la combinación de servicios y un enfoque de servicios gestionados que simplifique la infraestructura y aumente la visibilidad a la vez que genera rentabilidad.

Los CISO necesitan replantearse la manera de aplicar los procesos de ciberseguridad en toda la empresa, desarrollando una estrategia integral que simplifique las infraestructuras existentes y responda a las necesidades de ciberseguridad de las nuevas realidades de la organización, como la tecnología cloud y los ecosistemas de colaboración. Las ‘Empresas seguras’ ya siguen este enfoque.

2. Las ‘Empresas seguras’ consiguen proteger toda su superficie de ataque

Dentro de las organizaciones, la transición a la computación en la nube a gran escala, el Internet de las cosas (IoT) o el uso de proveedores en la cadena de suministro, entre otras novedades, ha aumentado las brechas de seguridad al incrementar las posibilidades de sufrir un ataque. Por ello, el 53% de los responsables de ciberseguridad están de acuerdo en que no existe un perímetro seguro en la evolución que está sufriendo el ecosistema digital actual y que esta evolución complica la aplicación de medidas del ámbito de la ciberseguridad.

Las cadenas de suministro, responsables del 62% de los incidentes de intrusión en sistemas en 2021, se revelan como uno de los frentes más vulnerables para las empresas. “La complejidad de la cadena de suministro hace que cualquier incidente de ciberseguridad en la misma pueda poner en riesgo a múltiples organizaciones y, por ello, la gestión de la ciberseguridad debe ser una responsabilidad compartida”, afirma Elena Maestre, responsable de ciberseguridad en EY España.

3. Hablar el mismo idioma que el resto de la empresa

Tanto los comités de dirección como los consejos de administración se preocupan cada vez más por los riesgos digitales y de ciberseguridad. Los responsables de la ciberseguridad deben mantener un diálogo abierto con sus stakeholders y utilizar un lenguaje adecuado que permita explicar el riesgo cibernético en términos económicos y de impacto, algo que resulta mucho más útil y permite una mejor toma de decisiones que las explicaciones exclusivamente técnicas.

Mientras que antes el papel del CISO era principalmente operativo y técnico, en las organizaciones más maduras la ciberseguridad opera como una función en sí misma, además de contar con presencia den el comité de dirección. Nuestra encuesta concluye que, gracias a su papel cada vez más prominente dentro de las organizaciones, los CISO están teniendo un gran éxito a la hora de garantizar los recursos necesarios en el entorno actual de alto riesgo. En la encuesta de este año, el presupuesto, que en ediciones anteriores era uno de los principales obstáculos internos para implementar la ciberseguridad, deja de ser un problema tan destacado y ya es uno de los hándicaps menos relevantes (cae al sexto lugar de un total de ocho). La ciberseguridad se reconoce cada vez más como una cuestión fundamental de resiliencia, reputación y cumplimiento de la normativa, por lo que cada vez cuenta con mayor apoyo en el seno de las compañías.

Aunque los presupuestos son un componente esencial, la ciberseguridad debe integrarse en toda la organización desde una óptica más completa. Para ello, es necesario contar con la participación de los altos directivos, dar respuesta a la falta de conocimientos y mantener una estrecha comunicación entre los CISO y la dirección ejecutiva. Sin embargo, nuestra encuesta revela que estos grupos no siempre están de acuerdo. En comparación con la dirección ejecutiva, los CISO se muestran menos satisfechos con la eficacia de la estrategia general de su organización respecto a la ciberseguridad (36% frente al 48% de la dirección ejecutiva) y con su capacidad para hacer frente a las amenazas a las que se enfrentan (38% frente al 25% de la dirección ejecutiva).

Apoyo a los trabajadores

El error humano sigue siendo uno de los principales factores detrás de los ciberataques y la falta de concienciación sobre las mejores prácticas de los usuarios finales (no técnicos) ha sido identificado como el tercer mayor riesgo interno, según los resultados de la encuesta.

Solo la mitad de los responsables de ciberseguridad afirma que la formación de ciberseguridad dentro de sus organizaciones es eficaz y solo el 36% se muestra satisfecho con el cumplimiento de las mejores prácticas por parte de los departamentos que no forman parte del área de IT, lo que plantea dudas sobre la eficacia real de la formación. En este sentido, se aprecia que las ‘Empresas seguras’ están más satisfechas con la adopción de las mejores prácticas de ciberseguridad que las ‘Empresas vulnerables’ (47% frente a 27%). Considerar la ciberseguridad como un elemento transversal a toda la organización y que todos los empleados deberían tener en cuenta ayuda a garantizar un compromiso más eficiente.

Cerrar la brecha de talento

Dentro de los equipos de ciberseguridad, el talento es un problema recurrente, ya que en el último año y a nivel mundial la demanda de profesionales especializados   ha crecido más del doble de rápido que la disponibilidad de este tipo de perfiles. La ciberseguridad está estancada en términos de actualización de skills, mientras que la mayoría de las organizaciones de nuestro estudio citan el upskilling como principal objetivo.

Las ‘Empresas seguras’ están abordando esta situación de forma más creativa. Por ejemplo, priorizan la contratación y el reskilling (formación en ciberseguridad) de empleados que no trabajan actualmente en este campo (28% frente al 14% de las ‘Empresas vulnerables’). Asimismo, se muestra una tendencia creciente en la externalización de actividades especializadas que son más fáciles de desplegar a través de empresas especializadas.

3. Cinco formas de crear valor según las empresas líderes

La ciberseguridad bien desplegada puede apoyar y acelerar la innovación y la creación de valor en toda la empresa, al permitir una adopción más rápida y segura de nuevos procesos innovadores y de transformación. Según los encuestados, las mejores organizaciones tienen la ciberseguridad incorporada en los procesos, formando parte integral de cada área de la organización y del modelo operativo para pasar de ser un limitador a un impulsor de valor.

Nuestro estudio muestra que las ‘Empresas vulnerables’ son más propensas a tener dificultades para equilibrar la seguridad y la velocidad necesaria para innovar (55% frente al 42% de los ‘Empresas seguras’), lo que revela un ejemplo más de cómo la eficacia de la ciberseguridad es una fuente de valor e innovación, mientras que su ausencia es un obstáculo.

Acciones para lograr una estrategia de ciberseguridad más eficiente y centrada en el valor

Los resultados del estudio de EY 2023 Global Cybersecurity Leadership Insights son claros: los líderes ejecutivos se enfrentan una serie de amenazas presentes y futuras. Sin embargo, las organizaciones experimentan resultados muy diferentes en función de su estrategia de ciberseguridad. Aprendiendo de los mejores, las empresas pueden reforzar su ciberseguridad haciendo hincapié en la simplificación, una visión integral y la aplicación de las medidas de ciberseguridad en toda la organización.

Las acciones clave que surgen de la encuesta incluyen:

1. Simplificar el número de tecnologías relacionadas con la ciberseguridad para reducir el riesgo y mejorar la detección. La automatización y la coordinación son clave para facilitar la organización del entorno tecnológico, lo que permite detectar señales más rápidamente y responder con mayor eficacia.
   
2. Gestionar los riesgos de ciberseguridad de la cadena de suministro, mejorar la vigilancia y supervisar continuamente sin añadir burocracia innecesaria. Esto también precisa que los equipos de ciberseguridad participen desde el principio en la selección de proveedores y en el establecimiento de la criticidad de sus actividades.
3. Utilizar el mismo lenguaje que el resto de la empresa en materia de ciberseguridad, en términos de reducción de riesgos, impacto empresarial y creación de valor.
4. Combinar la formación con herramientas de automatización y prevención para que todos los empleados participen de la ciberseguridad y estén protegidos.
5. Integrar la ciberseguridad en los procesos de la organización, ya que tiene la capacidad de impulsar el valor, infundir la confianza necesaria para innovar y abrir nuevas oportunidades de mercado.

Accede aquí al informe completo de Global