5 minutos de lectura 15 octubre 2021
surfing

¿Cómo convertir al CISO en pieza clave de la transformación digital?

Por Elena Maestre

EY España, Socia Responsable de Ciberseguridad en Consulting

Asesorando clientes en la gestión integral de la ciberseguridad y sus riesgos para acompañar en su estrategia, gestión y respuesta, y en la consiguiente generación de confianza en las organizaciones.

5 minutos de lectura 15 octubre 2021

Encuesta Global de Seguridad de la Información de EY 2021.

La Encuesta Global de Seguridad de la Información de EY 2021 muestra cómo los responsables de ciberseguridad afrontan un entorno de riesgo cada vez más complejo, que requiere una mayor integración de la función a través de la mejora de la cultura de la seguridad, las relaciones internas y el incremento de las capacidades y recursos asignados por la organización.

En resumen
  • Durante la era COVID-19, las organizaciones han tenido que acelerar drásticamente los procesos de transformación digital y la incorporación de tecnologías disruptivas en sus modelos de negocio. Sin embargo, no en todos los casos la ciberseguridad ha acompañado adecuadamente estas iniciativas y los riesgos se han incrementado muy significativamente.
  • Adicionalmente, el incremento de la regulación de la ciberseguridad en multitud de ámbitos implica reforzar los mecanismos de gestión y control a todos los niveles.
  • En un contexto de importancia creciente, los CISOs se encuentran ante una inmejorable oportunidad para mejorar su posicionamiento interno y las relaciones con la organización, así como la asignación de presupuesto y recursos especializados.

Más de 1.000 líderes de ciberseguridad han participado este año en nuestra Encuesta Global de Seguridad de la Información (GISS), representando a compañías pertenecientes a diversos sectores de actividad, geografías y dimensiones. A la luz de los resultados obtenidos, se observa una tendencia creciente en la preocupación por las nuevas amenazas, incluso a nivel de Alta Dirección, debido fundamentalmente a la aceleración de los procesos de transformación, dependencia de la tecnología, así como la especialización de las técnicas y organización de los ciberatacantes. Sin embargo, en una gran mayoría de casos esta preocupación no está debidamente alineada con la asignación de presupuesto y recursos para una implementación eficaz de medidas de prevención y mitigación de los riesgos.

En el caso de España, a pesar de que disponemos de organizaciones de referencia mundial en materia de ciberseguridad (fundamentalmente en los sectores financiero, energía, industrial y retail), el nivel medio de cultura, madurez e integración de los procesos de seguridad en las compañías sigue siendo mejorable. Contamos con una industria de ciberseguridad muy desarrollada y talento reconocido a nivel internacional, con un ecosistema formado por grandes firmas y empresas tecnológicas apostando fuertemente por la ciberseguridad, trabajando y aportando valor en muchos casos para clientes ubicados fuera de nuestra geografía. El camino por recorrer aún es largo, y a pesar de ir en la buena dirección, debemos aumentar la velocidad si no queremos quedarnos atrás.

Capítulo 1
(Chapter breaker)
1

Capítulo 1

La ciberseguridad está en primera línea

Tiempos de cambio, incertidumbre y oportunidades

Durante este tiempo marcado inevitablemente por la crisis COVID-19, todos los negocios han tenido que adaptarse a un nuevo contexto. De una manera muy acelerada, las empresas han adoptado nuevas tecnologías de relación con clientes y empleados: crecimiento de canal online, movilidad y teletrabajo han sido los retos más significativos durante estos últimos años. Sin embargo, la velocidad en la transformación digital tiene un precio: muchas organizaciones no han integrado la ciberseguridad en el proceso de toma de decisiones y se han visto expuestas a incidentes con gran impacto en el negocio.

Los resultados de la Encuesta indican que en un entorno cambiante como el actual existen ciertos factores clave que deben estar en la agenda de los CISOs:

1. Ser capaces de detectar y responder de manera eficaz ante nuevas amenazas: El 75% de los encuestados han identificado un incremento del número de ciberataques disruptivos durante la época de pandemia, mientras el 50% indica que están más preocupados que nunca sobre la capacidad de la organización para responder ante un incidente de ciberseguridad.

2. Implantar la ciberseguridad a la misma velocidad que el negocio introduce la tecnología: El 70% de los encuestados indica que los tiempos han sido demasiado ajustados para la realización de revisiones de ciberseguridad, y los atacantes aprovechan situaciones de este tipo para explotar las vulnerabilidades. 

3. Entender la sofisticación de las nuevas técnicas de ataque: Los ciberdelincuentes han incrementado su nivel de especialización y organización, adoptando estrategias cada vez más complejas. Destaca especialmente el aumento de la actuación sobre cadenas de suministro y procesos de distribución, donde el impacto de un incidente es muy significativo a nivel económico y reputacional.

4. Reforzar la cultura y procesos de ciberseguridad desde el diseño: Mientras las compañías evolucionan sus modelos de negocio a través de procesos de digitalización, la seguridad desde el diseño sigue siendo una asignatura pendiente. La mayoría de encuestados indica que sus organizaciones van a afrontar grandes inversiones para la incorporación de nuevas tecnologías, y la seguridad debe tomar parte relevante en los procesos de decisión.

5. Aprovechar la inercia existente sobre la importancia de la ciberseguridad para la Alta Dirección: Durante este último año, nuestros encuestados han percibido una mayor presencia de la ciberseguridad en la agenda de la Dirección. Es necesario orientar esta oportunidad hacia iniciativas concretas, que incorporen la ciberseguridad en el ADN de las organizaciones desde el máximo nivel.

6. Mejorar el posicionamiento interno del CISO: El 25% de los encuestados consideran que el COVID-19 ha sido una inmejorable oportunidad para mejorar las relaciones internas y posicionarse como socios estratégicos del negocio.

Capítulo 2
(Chapter breaker)
2

Capítulo 2

Un contexto lleno de dificultades y desafíos para el CISO

COVID-19: La tormenta perfecta para la ciberseguridad

¿Está el CISO preparado para afrontar este nuevo rol orientado a la habilitación del negocio desde la ciberseguridad? La respuesta es sí, pero debe tener en cuenta varios aspectos críticos para afrontar sus responsabilidades con éxito.

Presupuesto: La organización de ciberseguridad necesita más recursos

En término medio, las compañías invierten entre el 2% y el 5% de sus ingresos en Tecnologías de Información (IT), según la industria. Según nuestra Encuesta, el gasto medio en ciberseguridad se reduce al 0.04%, muy lejos de los niveles ideales y a todas luces insuficiente para llevar a cabo una gestión adecuada de las amenazas, vulnerabilidades y riesgos.

A la vista de los resultados, existe la percepción de que con los niveles actuales de inversión es sólo cuestión de tiempo que se produzca un incidente de ciberseguridad con impacto en el negocio. La organización de ciberseguridad, aun adquiriendo progresivamente más importancia para la Dirección, no forma parte de las inversiones estratégicas y por lo tanto no dispone de los medios necesarios para hacer frente a estrategias de ataque cada vez más complejas.

Para hacer frente a estas restricciones presupuestarias, los CISOs deben hacer frente a decisiones difíciles, reajustando los requisitos de seguridad y reduciendo algunas de las iniciativas estratégicas que se habían puesto en marcha antes de la crisis.

Regulación: La dispersión regulatoria y los problemas asociados

El entorno de cumplimiento global de ciberseguridad se presenta cada vez más complejo, con regulaciones a nivel nacional y europeo cada vez más numerosas. Por otra parte, el impacto de los incidentes ocurridos durante los últimos años sobre sectores estratégicos (financiero, energético, servicios esenciales) ha impulsado también la creación de nuevos marcos de control, que las compañías deben implantar de una manera acelerada, y que son revisados por las autoridades periódicamente. Para las compañías pertenecientes a los sectores más regulados, la gestión de cumplimiento se vuelve en una actividad muy compleja, dado el elevado número de requerimientos, solapamientos entre los mismos y más si es necesario implicar a las áreas de negocio en este tipo de actividades.

Habitualmente la responsabilidad de cumplimiento de estas regulaciones recae finalmente sobre el CISO, que ve aumentado su nivel de estrés ante la falta de recursos, alta carga de trabajo y tiempos muy ajustados para la implementación de las medidas de seguridad.

En España, el 75% de los participantes en la Encuesta indica que la existencia de regulaciones de ciberseguridad facilita la consecución de los objetivos. Por su parte, el 38% identifica la regulación como principal palanca de consecución de inversiones de ciberseguridad.

Relaciones: El posicionamiento del CISO dentro de la organización

Mientras los CISOs y responsables de ciberseguridad deben tomar parte importante y asesorar desde los primeros momentos de la toma de decisiones en los proyectos, la realidad es que las relaciones internas con las diferentes áreas de la organización en ocasiones carecen de solidez y positividad. El 50% de los encuestados afirma que los equipos de ciberseguridad no siempre son informados o consultados a tiempo. Y el 68% ha visto cómo las áreas de negocio evitan los procesos de ciberseguridad para acelerar el lanzamiento de iniciativas. A pesar de que el “time to market” es muy importante, es necesario ser consciente de que se asumen ciertos riesgos que en ocasiones pueden ser inaceptables.

Por otro lado, las relaciones de los equipos de ciberseguridad con otras áreas de las compañías presentan a menudo altos niveles de desconfianza (fundamentalmente con las áreas de negocio y recursos humanos) cuando deberían trabajar conjuntamente para desarrollar soluciones seguras y adaptadas a las necesidades de la organización.

Capítulo 3
(Chapter breaker)
3

Capítulo 3

Tres pasos para abordar el futuro

Convertir la ciberseguridad en un valor diferencial

La figura del CISO debe entenderse como socio estratégico del negocio, habilitador de la transformación digital a la vez que protector de la información y los sistemas críticos de las compañías. El responsable de ciberseguridad debe tener las capacidades adecuadas para comprender y explicar eficazmente los riesgos a los que se encuentra expuesta la organización, a todos los niveles. Debe ser capaz de transmitir que la ciberseguridad es un aspecto fundamental dentro de la transformación digital, que requiere esfuerzo y compromiso, y eso no es tarea fácil.

Volver a empezar: Realinear la ciberseguridad con el negocio

Los equipos de ciberseguridad históricamente han centrado sus esfuerzos en perfeccionar los procesos asociados a la evaluación de riesgos, definición de planes de acción e implantación de medidas de protección. Sin embargo, es el momento de prestar atención a los aspectos de mejora. Se debe reforzar el nivel de “engagement” con los grupos de interés y evitar actuar como un grupo aislado, abriendo la mirada hacia la organización y las necesidades de negocio. Medir el grado de satisfacción de la organización con la función de ciberseguridad es también una práctica esencial, que permitirá ver más allá de los riesgos y facilitar su integración en las estructuras y procesos clave de la compañía.

Adaptarse al nuevo contexto: Revisar perfiles y capacidades

Para poder responder adecuadamente a un entorno de riesgo cada vez más complejos, los CISOs necesitan contar con equipos versátiles y multidisciplinares. No existe un perfil perfecto para la ciberseguridad. Además de especialistas técnicos, se requiere disponer de profesionales con altas capacidades de gestión y relacionales, apasionados de la innovación y las nuevas tecnologías, para poder detectar las amenazas emergentes y poder proporcionar soluciones rápidas y eficaces.

Salir de la zona de confort: Multiplicar el foco en 4 direcciones

Habitualmente, la función de ciberseguridad está focalizada en las actividades asociadas a la detección y mitigación de riesgos IT. Sin embargo, para poder afrontar los desafíos que están por llegar de una manera exitosa, la atención debe multiplicarse en 4 direcciones:

  1. Profesionalizar la gestión de la ciberseguridad: Control de actividades, asignación de recursos y reporting a la dirección
  2. Asegurar el cumplimiento normativo: Garantizar que no existen desviaciones e incumplimientos con respecto a la normativa aplicable según el área de actividad.
  3. Adoptar mejores prácticas de la industria: Aprovechar las llamadas “best practices” proporcionadas por los estándares nacionales e internacionales de ciberseguridad, cada vez más numerosos y especializados en multitud de ámbitos.
  4. Seguridad desde el diseño: Continuar desarrollando técnicas y mecanismos para la integración de los criterios de seguridad en nuevos proyectos.

En el caso de que los CISOs sean capaces de situarse en el centro de estos aspectos, convirtiéndose de esta manera en un punto de referencia en la organización, estarán en una posición inmejorable para llevar la función de ciberseguridad al siguiente nivel.

Si quieres descubrir más información acerca del informe, puedes acceder a ella a través de este enlace.

Resumen

La Encuesta Global de Seguridad de la Información de EY 2021 analiza el reto al que se enfrentan los responsables de ciberseguridad un entorno cada vez más complejo en el que se necesita, más que nunca, la integración de la función a través de la mejora de la cultura de la seguridad, las relaciones internas y el incremento de las capacidades y recursos asignados por la organización.

Acerca de este artículo

Por Elena Maestre

EY España, Socia Responsable de Ciberseguridad en Consulting

Asesorando clientes en la gestión integral de la ciberseguridad y sus riesgos para acompañar en su estrategia, gestión y respuesta, y en la consiguiente generación de confianza en las organizaciones.