20 minutos de lectura 1 oct 2023

¿La complejidad de tu ciberestrategia es tu mayor riesgo?

Por Richard Watson

EY Asia-Pacific Cybersecurity Risk Consulting Leader

Líder de Ciberseguridad en la región de Asia-Pacífico de EY. Orador público. Asesor de confianza sobre riesgos cibernéticos y confianza digital. Golfista, viajero y padre.

Colaboradores
20 minutos de lectura 1 oct 2023
Temas relacionados Ciberseguridad Consultoría

El estudio EY 2023 Global Cybersecurity Leadership Insights muestra cómo los líderes están reforzando las defensas mientras crean valor. 

En resumen
  • Las organizaciones han aumentado la inversión en ciberseguridad, pero las amenazas se han intensificado a medida que los adversarios aprovechan la tecnología avanzada y las superficies de ataque se expanden.
  • Los CISO más efectivos simplifican su panorama tecnológico, enfatizan la automatización y se comunican de manera efectiva en todos los niveles organizacionales.
  • La mejora de la ciberseguridad no solo reduce la vulnerabilidad, sino que crea valor al optimizar el gasto en tecnología, fomentar la colaboración y generar confianza.

A pesar de la creciente amenaza de los ciberataques y del aumento de las inversiones en ciberseguridad, sólo uno de cada cinco directores de seguridad de la información (CISO, por sus siglas en inglés) y líderes de la C-suite considera que su enfoque es eficaz para los desafíos actuales y futuros.

Los encuestados en el EY 2023 Global Cybersecurity Leadership Insights Study también señalaron que había motivos de preocupación. Las organizaciones enfrentan un promedio de 44 incidentes cibernéticos significativos al año, y los tiempos de detección y respuesta son lentos, ya que tres cuartas partes de las organizaciones tardan un promedio de seis meses o más en detectar y responder a un incidente. En tanto, el número conocido de ciberataques ha aumentado aproximadamente un 75 % en los últimos cinco años1 y se pronostica que los costos del ransomware alcanzarán los 265 mil millones de dólares en 2031 por encima de los 20 mil millones de dólares en 2021.2 Nuevos y sofisticados adversarios están armamonizando la última tecnología para aumentar la velocidad y la escala de sus ataques.  Los impactos — financieros, regulatorios y reputacionales — están en un nivel cada vez mayor.

  • Acerca de la investigación

    En febrero y marzo de 2023, la organización global EY realizó investigaciones para comprender mejor cómo las empresas se acercan a la ciberseguridad de su organización para prepararse para las amenazas de ciberseguridad de hoy y mañana. Encuestamos a 500 líderes de la C-suite y en ciberseguridad en 19 sectores diferentes y 25 países que cubren América, Asia-Pacífico (APAC) y Europa, Medio Oriente, India y África (EMEIA). Los encuestados representaron organizaciones con más de mil millones de dólares en ingresos anuales.

Mediante el modelado estadístico, identificamos organizaciones líderes con la ciberseguridad más efectiva — a este grupo lo llamamos “Creadores de Seguridad”. En comparación con sus contrapartes de menor rendimiento, las “Empresas Propensas”, los Creadores de Seguridad tienen menos incidentes cibernéticos y son más rápidos en detectar y responder a incidentes. También es más probable que hoy estén satisfechos con su enfoque de ciberseguridad (51 % vs. 36 %) y más probabilidades de sentirse preparados para las amenazas del mañana (53 % vs. 41 %). 

El enfoque de los Creadores de Seguridad para con la ciberseguridad protege y crea valor para su organización. Es significativamente más probable que vean impactos positivos en su capacidad de responder a las oportunidades del mercado y a su ritmo de transformación e innovación. Lo que distingue a los Creadores de Seguridad es cómo se comportan de manera diferente en tres áreas clave:

  • Se apresuran a adoptar tecnología emergente y utilizan la automatización para orquestar su tecnología de ciberseguridad y agilizar los procesos.
  • Tienen estrategias específicas para administrar complejas superficies de ataque en la nube, en las instalaciones y terceros.
  • Han integrado la ciberseguridad en los tres niveles de la organización, desde la C-suite, hasta la fuerza laboral en general y el propio equipo de ciberseguridad.
  • Identificación de Creadores de Seguridad

    Para ayudarnos a identificar empresas con mejores resultados en ciberseguridad, pedimos a los líderes evaluar su organización en función de una serie de métricas objetivas y subjetivas de ciberseguridad: tiempo medio para detectar (MTTD, por sus siglas en inglés), tiempo medio para responder (MTTR, por sus siglas en inglés), número de incidentes de ciberseguridad, integración de la ciberseguridad dentro de la organización e impacto de la ciberseguridad en la innovación y creación de valor.

    A través del modelado estadístico, identificamos dos segmentos — Creadores de Seguridad (organizaciones de alto rendimiento), que representaron 42 % de la muestra de la encuesta y Empresas Propensas (organizaciones de bajo rendimiento), que representaron 58 % de la muestra de la encuesta. 

Luces brillantes iluminan la pasarela peatonal sobre la autopista por la noche
(Chapter breaker)
1

Capítulo 1

Adoptar la tecnología emergente: seguridad a través de la simplificación

Las organizaciones se apresuran a construir su pila de cibertecnologías, lo que aumenta el desorden; las más eficaces aprovechan la automatización para reducir la complejidad.

Las herramientas y aplicaciones de ciberseguridad han mejorado en los últimos años en su sofisticación, velocidad y efectividad. Esto es impulsado en parte por una inversión significativa, con 1.300 millones de dólares invertidos en ciberseguridad entre 2010 y 2022, creciendo a una tasa compuesta anual de 16,6 %, según Pitchbook.

El estudio revela que se acerca una ola de implementación de nuevas tecnologías, con 84% de las organizaciones en las primeras etapas de agregar dos o más nuevas tecnologías a su conjunto existente de soluciones de ciberseguridad. Pero irónicamente, es la propia escala y complejidad de las medidas de seguridad las que ahora representan la mayor amenaza para la ciberseguridad eficiente porque limita la visibilidad. “Cuanto más desorden tengas en tu entorno tecnológico, más difícil será captar señales y llegar a la cima de los problemas rápidamente”, dice Richard Watson, EY Global and EY Asia-Pacific Cybersecurity Consulting Leader

Consolidar la tecnología en una sola plataforma y reducir el número de productos de proveedores facilita la integración, permite que la telemetría fluya a la superficie más fácilmente y ayuda a los equipos de seguridad a detectar incidentes de manera más eficiente.

Los CISO necesitan transformar la forma en que se introduce la tecnología de ciberseguridad en toda la empresa, desarrollando una estrategia tecnológica holística que racionalice los sistemas existentes y aborde las necesidades de ciberseguridad de los imperativos comerciales emergentes, como las asociaciones en la nube y los ecosistemas, y haga pleno uso de la automatización. Los Creadores de Seguridad siguen este enfoque.

Si bien el 70% se definió a sí mismo como los primeros en adoptar la tecnología emergente, están enfocados en soluciones avanzadas para simplificar su entorno, en particular mediante el aprovechamiento de la automatización. Es más probable que utilicen o se encuentren en las últimas etapas de adoptar inteligencia artificial o machine learning (IA o ML) (62% vs. 45%) y Seguridad, Orquestación, Automatización y Respuesta (SOAR) (52% vs. 37%). Esto les brinda una defensa sin fisuras en toda la organización y una clara línea de visión para los incidentes de ciberseguridad.


Los Creadores de Seguridad son más propensos a decir que su enfoque de la ciberseguridad también está ligado a una mejor adaptabilidad a medida que cambian las amenazas (45 % reportan un impacto positivo). Por otro lado, solo 34 % de las Empresas Propensas dijeron lo mismo mientras que 36 % reportan que su enfoque tiene un impacto negativo en su adaptabilidad. Si bien la misma tecnología emergente empodera a las organizaciones, los líderes cibernéticos deben asegurarse de tener una estrategia de tecnología de ciberseguridad que brinde seguridad a través de la simplificación. Los líderes cibernéticos deben:

  • Simplificar y racionalizar las tecnologías de ciberseguridad existentes para reducir el costo total de propiedad y establecer la plataforma para operaciones fluidas a gran velocidad.
  • Revisar sistemas heredados que sean duplicativos o mal integrados como parte de la modernización tecnológica.
  • Adoptar procesos de ciberseguridad simplificados y automatizados, en lugar de múltiples configuraciones independientes.
  • Adoptar capacidades emergentes más rápido sin introducir nuevos riesgos ni complicar el entorno tecnológico general.
  • Considerar enfoques basados en la automatización, incluidos DevSecOps y SOAR.
  • Perseguir el co-sourcing y un enfoque de servicios administrados que simplifique la infraestructura y aumente la visibilidad al tiempo que genere eficiencias de costos.
  • Las empresas energéticas cargan con un entorno de IT fragmentado

    Sobre una base de la industria, nuestra encuesta revela que las empresas de energía en particular están luchando con la ciberseguridad, y solo el 35 % dice que su organización está bien posicionada para asumir las amenazas del mañana, en comparación con el 48 % de todas las demás industrias. Además, es más probable que otras industrias tomen un enfoque de “esperar hasta que se pruebe y compruebe la tecnología” y apunten a no priorizar la integración tecnológica emergente como el mayor desafío interno de ciberseguridad.

    Solo 22 % están satisfechos con la adopción de las mejores prácticas por parte de su fuerza laboral que no es de IT.

    “La industria energética ha incrementado la inversión en ciberseguridad en los últimos años. Su condición de infraestructura nacional crítica ha llevado a endurecer las presiones regulatorias y de cumplimiento para garantizar la resiliencia ante ataques y fallas”, dice Clinton Firth, EY Global Cybersecurity Lead, Energy. La presión para la transición a la energía renovable está forzando un cambio de tecnología operativa heredada hacia redes más distribuidas, incluso a través del Internet de las cosas (IoT, por sus siglas en inglés). Las ofertas de tecnología de ciberseguridad han mejorado significativamente, ayudando a las empresas energéticas a identificar vulnerabilidades de manera eficiente y desarrollar controles clave como la gestión de acceso privilegiado, la detección de amenazas y la respuesta.

    Sin embargo, la industria tiene grandes desafíos estructurales. Las compañías de petróleo y gas son globales, pero las normas y regulaciones de ciberseguridad están localizadas. Las funciones de ciberseguridad a menudo tienen dificultades para colaborar eficazmente con los gerentes de planta que controlan los activos operativos, y los fabricantes de equipos originales y los entornos de tecnología operativa heredados son obstáculos para el cambio.

    “En los últimos años, varias compañías de energía han estado invirtiendo cantidades similares en servicios cibernéticos a financieros, pero tienen entornos de IT más fragmentados”, dice Alam Hussain, EY EMEIA Cybersecurity Leader. “Las empresas de energía son parecidas a las arañas. Es difícil poner en soluciones que cubran todas las áreas de riesgo cibernético”.

Ingeniero en una sala de control moderna y limpia
(Chapter breaker)
2

Capítulo 2

Los Creadores de Seguridad obtienen cobertura de toda la superficie de ataque

La “nube a escala” y las cadenas de suministros más profundas están aumentando las superficies de ataque.

“Demasiadas superficies de ataque” fue el desafío interno más citado para el enfoque de ciberseguridad de las organizaciones. Dentro de la organización, la transición a cloud computing a escala y el Internet de las Cosas (IoT) han aumentado las aperturas para las infracciones cibernéticas. Además, un enfoque de negocios liderado por ecosistemas en la actualidad, al tiempo que ayuda a generar valor, también presenta un importante desafío de ciberseguridad. Dicho todo, el 53 % de los líderes cibernéticos coinciden en que no existe un perímetro seguro en el ecosistema digital actual. Lo más peligroso de todo son las cadenas de suministros, responsables del 62 % de los incidentes de intrusión del sistema en 2021.3

Reducción de riesgos para la implementación de IoT y la nube

Tres de cada cuatro encuestados clasifican la nube y el IoT como los mayores riesgos tecnológicos en los próximos cinco años. A través de la adopción de la nube, las superficies de ataque han aumentado exponencialmente. El ritmo del cambio sigue acelerándose, y las empresas están tratando de mantenerse al día. Estos rápidos cambios tienen el potencial de exponer a las organizaciones a la pérdida de datos, brechas y disrupciones cuando las organizaciones están a bordo de la nube y el IoT sin un diseño y una planificación suficientes en torno a las interfaces y el entorno de la nube. Para superar esta complejidad, las organizaciones necesitan aprovechar la automatización. Por ejemplo, la mitad de los CISO de las organizaciones que son Creadoras de Seguridad informan que su organización utiliza actualmente o se encuentra en las últimas etapas de implementar la orquestación y automatización de la nube en su enfoque de la ciberseguridad.

Además, las empresas no pueden asumir que todos sus riesgos cibernéticos están siendo manejados por el proveedor de la nube. “La seguridad en la nube es una responsabilidad compartida especialmente cuando se trata de identidad y acceso”, dice Carolyn Schreiber, Partner, Cybersecurity Consulting, Ernst & Young LLP “A menudo vemos configuraciones erróneas y aconsejamos que se requiere más configuración que solo “levantar y cambiar” a la nube. Las áreas clave a considerar incluyen la gestión de acceso privilegiado para evitar la escalada privilegiada, la gestión de secretos y la evitación del movimiento lateral. Desde nuestros clientes, estamos viendo a las organizaciones más seguras leyendo la letra pequeña del contrato e inclinándose, requiriendo que sus proveedores de servicios en la nube (CSP, por sus siglas en inglés) soporten los mismos estándares de seguridad que exigen sus organizaciones. Conseguir que tanto los equipos internos como los CSP rindan cuentas es una forma de hacer la transición sin aumentar los controles de seguridad de riesgo en sus plataformas y contenedores en la nube”.

La cuantificación del riesgo cibernético es un área emergente donde la automatización y el análisis de datos pueden agregar información y ayudar a la priorización de riesgos. Los comités ejecutivos y las juntas directivas están haciendo más preguntas sobre el riesgo cibernético y digital. El liderazgo cibernético debe aspirar a tener un diálogo comercial con los stakeholders y explicar el riesgo cibernético en términos de valor en dólares es mucho más poderoso y permite una mejor toma de decisiones, que las actualizaciones técnicas que los CISO han proporcionado tradicionalmente.  

  • La nube a escala y el riesgo cibernético en APAC, EMEIA y América

    Los encuestados de APAC tienen más probabilidades de ver la nube a escala como una de las principales tecnologías que permiten amenazas (81 % frente al 74 % de América y 63 % de EMEIA). Los reguladores han sido más lentos para permitir los servicios en la nube en APAC, lo que puede haber causado un retraso en la adopción o haber puesto a la región detrás de Europa y América en términos de confianza para la transición a la nube.

    Por otro lado, EMEIA pone más peso en los riesgos que plantea la AI/ML (49 % vs. 38 % de América y 34 % de APAC). 

Cadenas de suministros: participa temprano y monitorea continuamente

Todas las organizaciones están ahora inextricablemente y digitalmente vinculadas con los negocios de su cadena de suministros. En su búsqueda de los eslabones más débiles, los ciberatacantes utilizan una estrategia de "uno a muchos", accediendo a miles de organizaciones. “Hemos visto actores de amenazas realmente apuntar a las cadenas de suministros en los últimos cinco años. Si pueden comprometer a un actor clave de la cadena de suministros de software que es crítico para 30.000 organizaciones, entonces están dentro de esas 30,000”, dice Richard Bergman, EY Global Cybersecurity Transformation Leader.

Sin embargo, a pesar del peligro, las Empresas Propensas están más enfocadas en el riesgo financiero (52 % frente al 41 % de los Creadores de Seguridad) mientras que los Creadores de Seguridad tienen casi el doble de probabilidades de estar muy preocupados por los riesgos que plantea la cadena de suministros (38 % vs. 20 %) y riesgos relacionados como la protección de la propiedad intelectual (38 % vs. 24 %). Si bien la conciencia es el primer paso, los CISO deben tratar de agilizar las cadenas de suministros de su organización para obtener visibilidad de la resiliencia de los proveedores de manera continua, no solo como una sola vez. La asociación profunda con los directores de operaciones (COO, por sus siglas en inglés) y otros líderes operativos es fundamental para garantizar la visibilidad en todas las superficies de ataque en la cadena de suministros. En las organizaciones más maduras, las funciones de seguridad están involucradas en las decisiones de selección de proveedores, y se ponen en marcha y administran continuamente niveles más altos de garantía. Los COO y los CISO pueden encontrarse en conflicto, con los COO frenados ante las oportunidades de crecimiento por preocupaciones de ciberseguridad, por ejemplo, y los CISO sintiéndose poco valorados como protectores de la organización. Pero sólo trabajando juntos se puede lograr una verdadera resiliencia.4

Grupo de empresarios teniendo una reunión en una sala.
(Chapter breaker)
3

Capítulo 3

Hablar el idioma del negocio

Los CISO más efectivos se comunican de manera efectiva en toda la organización, hablando el idioma de la C-suite y la fuerza laboral.

Los Creadores de Seguridad construyen puentes en toda la organización. En tres niveles distintos de la organización — la C-suite, el equipo de ciberseguridad y la fuerza laboral en general — sobresalen en comunicarse con diferentes stakeholders y reconocer explícitamente el “factor humano” en la ciberseguridad.

Hablar con la C-suite

Si bien el rol de CISO alguna vez fue principalmente operativo y técnico, en organizaciones más maduras, la ciberseguridad opera como un departamento y funciona en sí mismo y tiene un asiento en la mesa de la alta dirección. Nuestra encuesta revela que, gracias a su rol cada vez más prominente, los CISO han logrado, en términos generales, asegurar los recursos necesarios en el entorno de alto riesgo actual. El presupuesto, una vez un desafío interno superior, solo ocupó el sexto lugar de ocho en una lista de obstáculos en la encuesta de este año. La ciberseguridad es cada vez más reconocida como un problema fundamental de resiliencia empresarial, reputación y cumplimiento normativo y está equipada con un amplio soporte.

Si bien los presupuestos son un componente crítico, la ciberseguridad necesita estar integrada en toda la organización. Esto requiere la participación de los líderes senior, cerrar las brechas de conocimiento y una estrecha comunicación entre los CISO y la C-suite. Sin embargo, nuestra encuesta revela que estos grupos no siempre están en la misma página. En comparación con la C-suite, es menos probable que los CISO estén satisfechos con la eficacia del enfoque general de su organización respecto a cuestiones relacionadas con ciber (36 % frente al 48 % de la C-suite) y con su capacidad para hacer frente a las amenazas del mañana (38 % frente al 54 % de la C-suite).

Las brechas de percepción entre el CISO y la C-suite son mucho más pequeñas para los Creadores de Seguridad, que están más satisfechos con la integración C-suite de la ciberseguridad en las decisiones clave de negocio, lo que sugiere una comunicación más efectiva con los líderes senior crea una comprensión compartida del riesgo y mejora el rendimiento de la ciberseguridad. Las percepciones alineadas del desempeño son un marcador de empresas más seguras. Las organizaciones que tienen operaciones de ciberseguridad integradas con las principales prioridades y estrategias de negocio tienen mayores probabilidades de experimentar menos incidentes. Los CISO más eficaces traducen la narrativa en un argumento que resuena en términos de reducción de riesgos, impacto empresarial y creación de valor.

Apoyo efectivo a la fuerza laboral

La prioridad de integración más amplia es la fuerza laboral más amplia. El error humano sigue siendo un importante habilitador de ciberataques, y el cumplimiento débil de las mejores prácticas más allá del departamento de IT fue el tercer mayor desafío interno en nuestra encuesta.

Solo la mitad de los líderes en ciberseguridad dicen que su capacitación cibernética es efectiva y solo el 36 % está satisfecho con la adopción de las mejores prácticas que no son de IT, lo que plantea preguntas sobre cuán efectiva es realmente esta capacitación. Sin embargo, los Creadores de Seguridad están más satisfechos con la adopción de las mejores prácticas de ciberseguridad que las Empresas Propensas (47 % frente a 27 %). Ser brillante en lo básico debería ser el foco. Las organizaciones deben simplificar las buenas prácticas que se piden a los trabajadores y crear mecanismos de control en sus procesos para limitar los riesgos en lugar de depender del cumplimiento de las normas. Las organizaciones más maduras tienen capacitación regular incremental y aprovechan las últimas herramientas de automatización y prevención. Hacer de la ciberseguridad una segunda naturaleza integrándola en la psique de cada persona de la organización ayudará a garantizar una formación y una adhesión más eficaces.

Talento: pensar fuera del organigrama

Dentro de la fuerza laboral del sector ciber, el talento es un desafío recurrente, ya que la brecha en la fuerza laboral de la ciberseguridad crece más del doble que la fuerza laboral mundial del sector ciber en el último año.La ciberseguridad está atrapada en un proceso de recuperación de competencias, y la mejora de las mismas es el principal objetivo de la mayoría de las organizaciones de nuestro estudio.Pero los Creadores de Seguridad se están acercando a este desafío de manera más creativa. Por ejemplo, tienen el doble de probabilidades de priorizar de forma significativa la contratación o la recualificación de trabajadores que no trabajan actualmente en el campo de la ciberseguridad (28 % frente al 14 % de las Empresas Propensas). Las contrataciones no tradicionales pueden surgir de una variedad de orígenes, incluso provenientes de otras áreas funcionales donde la automatización ha reducido significativamente las cargas de trabajo, como las finanzas y IT en general, y de entornos no tradicionales, incluidos los aprendizajes.

Los líderes piensan de manera más flexible sobre cómo dar forma al modelo operativo de su función de ciberseguridad externalizando más de sus operaciones de seguridad (una mediana de 25 % vs. 15 %) y siendo más propensos a externalizar funciones y capacidades adicionales a terceros especialistas en el futuro (46 % vs. 31 %). La externalización puede simplificar las funciones internas de ciberseguridad al permitir que terceros especializados se centren en funciones específicas de ciberseguridad que su fuerza laboral interna puede no estar equipada para manejar. Los Creadores de Seguridad también dan prioridad a la estandarización y automatización de los procesos de seguridad para reducir las necesidades de contratación de personal (35 % frente a 26 %), simplificando aún más su estructura organizativa.

Si bien las empresas se inclinan cada vez más a externalizar los aspectos de “personas y procesos” del trabajo de ciberseguridad, son más circunspectas con respecto a la tecnología en sí misma. En lugar de una solución de tecnología multi-tenanted alojada por un outsourcer, las organizaciones generalmente quieren poseer la tecnología en su nube, configurada para sus necesidades específicas y apetito de riesgo, mientras se benefician de la capacidad que brinda el outsourcing o el co-sourcing en términos de habilidades y personas. También pueden beneficiarse del acceso a la propiedad intelectual del tercero subcontratado.

Otra estrategia de capacidad creativa consiste en formular roles individuales para coordinar los equipos empresariales y cibernéticos. Una capacidad de “consultoría” actúa como enlace entre los equipos cibernéticos y el negocio en general, al comprender los requisitos e incorporar consideraciones cibernéticas en el negocio. Algunas empresas están experimentando con un enfoque “pod” en el que un equipo de consultores cibernéticos gestiona un proceso de “levantar y cambiar” a la organización durante un período de seis o nueve meses donde podrían ejecutar un ciclo de desarrollo seguro, capacitando al personal relevante y luego seguir adelante. Esto puede infundir nuevas habilidades y permitir que el equipo interno aprenda haciendo.

Vista aérea de auto entrando en túnel de autopista
(Chapter breaker)
4

Capítulo 4

Cinco formas en que los Creadores de Seguridad aceleran el valor

Los líderes aprovechan la automatización y la orquestación para simplificar el entorno tecnológico y comunicarse de manera efectiva en toda la organización.

La ciberseguridad no se trata solo de protección de activos. Si se hace bien, también puede apoyar y acelerar la innovación y la creación de valor en toda la empresa. De nuestros clientes, hemos visto que las mejores organizaciones tienen a la cibernética entretejida en la estructura de la empresa. Hacer que la cibernética sea integral en cada parte de la organización y el modelo operativo cambia la función de un inhibidor a un impulsor de valor.

Los Creadores de Seguridad son mucho más propensos a decir que su enfoque cibernético impacta positivamente el ritmo de transformación e innovación de la organización (56 % frente al 25 % de los CISO de las Empresas Propensas), la capacidad de responder rápidamente a las oportunidades del mercado (58 % frente al 29 %) y la capacidad de enfocarse en crear valor en lugar de proteger el valor (63 % frente al 42 %). La creación de valor puede tomar muchas formas. Las organizaciones ciberseguras ganan una mayor confianza de los clientes y proveedores que tendrán más confianza al realizar transacciones con ellos. Rediseñar arquitecturas tecnológicas puede mejorar la comunicación, la colaboración y la productividad de la fuerza laboral y mejorar la eficiencia del gasto.

Por ejemplo, los mayores riesgos de seguridad llevaron a un gigante retailer a perseguir una iniciativa de reforma cibernética que mejoraba el valor más allá de la vulnerabilidad reducida, aunque eso es importante. Esto incluyó un gasto tecnológico más eficiente, la eliminación de herramientas obsoletas y redundantes, una mano de obra optimizada y funciones y responsabilidades refinadas, una colaboración más eficiente y una mayor confianza en su base de clientes de más de mil millones.  

Nuestro estudio muestra que las Empresas Propensas tienen más probabilidades de luchar por equilibrar la seguridad y la velocidad requerida para innovar (55 % frente al 42 % de los Creadores de Seguridad), revelando un ejemplo más de cómo la ciberefectividad es una plataforma de valor e innovación y su ausencia, un obstáculo. Los ecosistemas se han convertido en una estrategia de negocio fundamental para crear valor, ya sea a través de múltiples marcas, subsidiarias de propiedad total o mayoritaria, asociaciones o empresas conjuntas. Para aprovechar plenamente los beneficios de los ecosistemas, la ciberseguridad necesita estar integrada desde el principio. Los CISO deben garantizar que los criterios de ciberseguridad se incluyan al evaluar a los socios potenciales mediante la estandarización de los protocolos de integración tecnológica. También necesitan comunicarse de manera efectiva con los tomadores de decisiones empresariales para gestionar adecuadamente el riesgo que conlleva la expansión. Una adquisición, por ejemplo, puede conllevar riesgos cibernéticos, pero si las cifras se ven reducidas por la oportunidad, se convierte en una decisión de riesgo empresarial como cualquier otra y no tiene por qué significar necesariamente el abandono de un pursuit. Las empresas necesitan vivir con un nivel de riesgo “razonable”.

Acciones para una estrategia de ciberseguridad más efectiva e impulsada por el valor

El EY 2023 Global Cybersecurity Leadership Insights Study arrojó hallazgos aleccionadores, con líderes de la C-suite lidiando con una variedad de amenazas actuales y anticipadas. Pero también ofrece la tranquilidad de que las organizaciones experimentan resultados muy diferentes en parte como resultado de su estrategia de ciberseguridad. Al aprender de los mejores, las empresas pueden fortalecer su ciberseguridad enfatizando la simplicidad, el pensamiento holístico y la integración de consideraciones de ciberseguridad en toda la organización. Ninguno de estos está fuera del alcance de las Empresas Propensas. Los puntos clave de acción que emergen de la encuesta incluyen:

  1. Simplificar la pila de tecnología cibernética para reducir el riesgo y mejorar la visibilidad. La automatización y la orquestación pueden reducir el desorden en el entorno tecnológico, lo que le permite detectar señales más rápido y responder de manera más efectiva.
  2. Utilizar la estandarización y la automatización para reducir los puntos de entrada de la cadena de suministros para los piratas informáticos, mejorar la vigilancia cibernética y monitorear continuamente el rendimiento sin agregar burocracia indebida. Esto también garantiza que los equipos de seguridad participen temprano en la selección de proveedores.
  3. Traducir tu narrativa en una historia que resuene con el negocio en términos de compra de riesgo, impacto en el negocio y creación de valor.
  4. Combinar la capacitación incremental y bien diseñada con herramientas de automatización y prevención para hacer que la fuerza laboral sea cibersegura por diseño.
  5. Incorporar la ciberseguridad en la estructura de tu organización, no verla como un inhibidor. Impulsar valor, infunde la confianza necesaria para innovar y abre nuevos ingresos y oportunidades de mercado. 

Con un agradecimiento especial a AnnMarie Pino, Mike Wheelock, Bhavnik Mittal — EY Research Institute; Aino Tan — Business Insights; y Vanessa Lobo — Global Technology Consulting, por sus contribuciones a este artículo.

Resumen

Las organizaciones se enfrentan a una preocupante ola de amenazas cibernéticas. Si bien la seguridad se ha convertido en una prioridad de la C-suite, respaldada con un creciente apoyo financiero, los riesgos se están intensificando. Las superficies de ataque continúan expandiéndose a través de las cadenas de suministros y cloud computing a escala, y los adversarios están aprovechando capacidades como la IA para montar ataques más efectivos.

El EY 2023 Global Cybersecurity Leadership Insights Study explora cómo las organizaciones están respondiendo a los desafíos actuales. A través del análisis de segmentación, identificamos los rasgos y comportamientos comunes que definen a los más exitosos, desde cómo simplifican su arquitectura tecnológica hasta su capacidad de comunicación en toda la organización. 

Acerca de este artículo

Por Richard Watson

EY Asia-Pacific Cybersecurity Risk Consulting Leader

Líder de Ciberseguridad en la región de Asia-Pacífico de EY. Orador público. Asesor de confianza sobre riesgos cibernéticos y confianza digital. Golfista, viajero y padre.

Colaboradores
Related topics Ciberseguridad Consultoría