Ciberseguridad: ¿cómo mantenerse a flote en medio de una tormenta?

Resultados de la Encuesta Global de Seguridad de la Información (GISS, por sus siglas en inglés) 2021 de EY.

La Encuesta Global de Seguridad de la Información de EY 2021 (GISS, por sus siglas en inglés) ilustra el impacto devastador y desproporcionado que la crisis ha tenido en una función que se esfuerza por posicionarse como un facilitador del crecimiento y un socio estratégico para el negocio.

A través de nuestra encuesta global a más de 1,400 líderes de ciberseguridad, encontramos a los CISO lidiando con presupuestos inadecuados, luchando con la fragmentación regulatoria y sin encontrar un terreno común con las funciones que más los necesitan.

La agitación de la pandemia mundial ha creado una tormenta perfecta de condiciones en las que los agentes de amenaza pueden actuar. Desde el estudio del año pasado, hemos identificado un aumento significativo en el número de ataques disruptivos y sofisticados, muchos de los cuales podrían haberse evitado si las empresas hubieran incorporado Security by Design en todo el negocio.

Cifra Comparativa Global Vs. Latam Norte Vs. Perú

Los CISO en encrucijada

Durante el último año, todas las organizaciones han tenido que adaptarse a los cambios e interrupciones de una forma u otra. En un intervalo de tiempo que hasta hace poco se hubiera pensado que era imposible, las organizaciones resilientes implementaron nuevas tecnologías orientadas al cliente y herramientas basadas en la nube que respaldaban el trabajo remoto y mantenían abierto el canal hacia el mercado. Los CISO se preocupan por las vulnerabilidades introducidas por la transformación en la era de la pandemia. El 77% de las compañías vieron un aumento en la cantidad de ataques disruptivos. En Perú, solo fue un 55%. 

La velocidad del cambio vino con un alto precio. Muchas empresas no involucraron la ciberseguridad en el proceso de toma de decisiones, ya sea por supervisión o por la urgencia de moverse lo más rápido posible. Como resultado, nuevas vulnerabilidades ingresaron a un entorno el cual ya se movía rápidamente y continúan amenazando al negocio en la actualidad.

Tres desafíos que detienen a los CISO

Los CISO que pueden mitigar el riesgo, mientras habilitan las ambiciones de crecimiento y tecnología de sus negocios, tienen un futuro brillante. La mayoría reconoce esto: 57% cree que la crisis brinda una oportunidad para que la ciberseguridad destaque. Sin embargo, esto puede pasar solo si ellos primero abordan los siguientes tres desafíos críticos que se relacionan entre sí: 

La organización de la ciberseguridad está muy mal financiada y dicho financiamiento se necesita ahora más que nunca

A pesar de la creciente amenaza de ciberataque, el presupuesto de ciberseguridad es bajo en relación con el gasto total en el área de tecnología de información. Los datos de la encuesta también sugieren que los procesos de asignación presupuestaria son en gran medida inflexibles, a pesar de la necesidad de respuestas ágiles frente a la volatilidad de la era de la pandemia y la perspectiva de interrupciones futuras.

36% del total de encuestados señala que es solo cuestión de tiempo hasta que enfrenten una brecha mayor que podría haberse evitado si se hubiese invertido más en ciberseguridad. En el Perú, la cifra bordea el 45%.

Los CISO con presupuestos insuficientes se han visto obligados a reducir el trabajo de seguridad esencial. ¿Qué acciones ha realizado para gestionar presupuestos insuficientes?

La fragmentación regulatoria ha sido un dolor de cabeza, generando más trabajo y problemas de abastecimiento

El entorno de cumplimiento global es cada vez más complejo, con regímenes que operan a niveles regionales y nacionales. Las organizaciones en ciertos sectores deben manejar las regulaciones específicas de cada industria.

Ha habido un cambio fundamental en la forma en que los CISO consideran el cumplimiento, lo que tiene implicaciones preocupantes en la relación con el regulador. Los CISO aún se mostraban positivos sobre el papel del cumplimiento el año pasado. Sin embargo, este año se ha vuelto tan fragmentado y complejo que ahora es una distracción. El cumplimiento ya no es amigo del CISO, en el sentido de que ya no justifica los presupuestos de la forma en la que lo hizo. 

Las relaciones de los CISO con otras áreas son débiles, exactamente cuando más se necesitan conexiones sólidas

Para gestionar el riesgo cibernético asociado a la transformación estratégica, los CISO deben brindar asesoramiento en las primeras etapas de la toma de decisiones de inversión. Pero las relaciones entre ciberseguridad y otras áreas en el negocio, que son fundamentales para que dichas consultas se lleven a cabo, carecen de positividad y fuerza.

Las relaciones débiles han sido durante mucho tiempo una preocupación para los CISO, pero el GISS de este año sugiere que el problema está cada vez más pronunciado. Según la encuesta, los líderes empresariales están eliminando la ciberseguridad de las conversaciones vitales. Alrededor de cinco de cada 10 (54%) ha observado a equipos empresariales eludir los procesos de ciberseguridad para facilitar el trabajo remoto y flexible. En Perú, la cifra se mantiene en 50%.

La crisis de COVID-19 ha sido una llamada de atención para los CISO. La empresa ha recurrido al equipo de ciberseguridad para proteger a la organización de ataques cibernéticos en evolución, al tiempo que permite una transformación tecnológica urgente y un nuevo crecimiento.

No hay duda de que muchos CISO se han enfrentado al desafío y hoy pueden demostrar la creciente importancia estratégica de su función. Pero también sería justo señalar que la crisis ha puesto de relieve las debilidades en la ciberseguridad y las áreas en las que se requiere una mejora. Específicamente, los CISO deben acelerar sus esfuerzos para abordar la seguridad desde el diseño mientras construyen relaciones más sólidas y basadas en la confianza con sus pares C-suite.