Los centros de monitoreo de seguridad en las áreas más afectadas por el brote de COVID-19 podrían verse obligados a operar de forma virtual y muchas empresas no tendrán la capacidad de hacerlo, ya sea porque no cuentan con la tecnología necesaria o porque sus procesos no están preparados para una colaboración u orquestación virtual.
En el peor de los escenarios, las compañías tendrían que cerrar sus centros de monitoreo y ser vulnerables a sufrir ciberataques, comprometiendo datos confidenciales; por ejemplo, la Organización Mundial de la Salud informó que ciberdelincuentes se han hecho pasar por sus representantes para enviar actualizaciones falsas de correo electrónico a los usuarios y robar información confidencial.
La ciberseguridad debería tomar un papel relevante en los planes de contingencia de las empresas, no solo en medio de una crisis sino siempre. Solo una tercera parte de las compañías considera que la función de ciberseguridad está involucrada en la etapa de planificación de una nueva iniciativa empresarial, según la Encuesta Global de Seguridad de la Información de EY (GISS).
Según la encuesta de este año, en donde fueron entrevistados casi 1,300 líderes de ciberseguridad de empresas de todo el mundo, incluido México, casi el 60% de las organizaciones ha enfrentado un mayor número de ataques disruptivos en los últimos 12 meses. Además, durante el último año, los hacktivistas fueron responsables del 21% de los ciberataques exitosos, solo superados por grupos del crimen organizado (23%), en comparación con el estudio del año pasado, donde solo el 12% de los encuestados consideraba a los activistas como la fuente más probable de un ataque.
A pesar del riesgo creciente, solo el 36% de las nuevas iniciativas empresariales habilitadas por la tecnología involucra al equipo de seguridad desde el principio. Además, el 77% de los gastos en ciberseguridad de las empresas se centraron en el riesgo o el cumplimiento más que en la oportunidad de innovación y transformación.
Al respecto, Carlos López Cervantes, socio líder de Riesgos y Ciberseguridad en EY Latinoamérica Norte, comentó: “la ciberseguridad por lo general ha sido una actividad de cumplimiento, en donde las empresas solamente verifican si cumplen con ciertos parámetros en lugar de integrar la ciberseguridad en todas las iniciativas empresariales habilitadas por la tecnología. Este no es un modelo sustentable. Si esperamos tener esquemas sólidos de prevención y respuesta, debemos enfocarnos en crear una cultura de seguridad por diseño”.
Según la encuesta, si bien los equipos de ciberseguridad generalmente tienen buenas relaciones con áreas adyacentes como TI, auditoría, riesgo y legal, hay cierta desconexión con otras partes del negocio. Casi tres cuartas partes (74%) considera que la relación entre ciberseguridad y mercadotecnia es, en el mejor de los casos, neutral, si no es desconfiada o inexistente, mientras que el 64% dice lo mismo del equipo de investigación y desarrollo y el 59% para las líneas de negocio. Más de la mitad (57%) dice que su relación con el área de finanzas, de la que dependen para la autorización del presupuesto, también es tensa.
Juan Carlos García Caparrós, director de Asesoría de Negocios en Ciberseguridad en EY México, señaló: “a medida que las empresas se transforman, lo que se requiere es construir relaciones de confianza en todas las funciones de la organización, empezando desde el nivel del Consejo para que la ciberseguridad se establezca como un habilitador de valor clave para la transformación e innovación empresarial, así como lograr la efectividad del plan de respuesta de las empresas y la continuidad del negocio ante crisis globales como la del COVID-19”.
Un desafío será establecer con más detalle el valor que la ciberseguridad genera. Solo el 7% de las empresas confían en poder cuantificar, en términos financieros, el impacto de una brecha/incidente de la seguridad cibernética.
“La mayoría de los CISO deben replantear sus funciones para lograr identificar de manera adecuada el entorno de amenazas y los inherentes riesgos de ciberseguridad a los que se enfrenta la organización, transmitirlos de manera adecuada a la alta dirección para la adecuada toma de decisiones en cuanto a la estrategia de Seguridad Organizacional. Si bien las organizaciones seguirán necesitando una sólida capacidad técnica y conocimientos especializados, el conocimiento del ADN del negocio como tal y la elevación del perfil organizacional de la Ciberseguridad a un asunto de nivel de consejo de administración, es imperativo en el plazo inmediato para enfrentar los retos actuales”, afirmó Pablo Nova, gerente senior de Ciberseguridad en EY México.
