Durante los últimos dos años el 54% de las organizaciones en México han observado un aumento en el número de ciberataques que afectaron sus negocios, dichas empresas informaron pérdida de productividad (47%), robo de identidad (29%) y puesta en riesgo de otros datos confidenciales (29%). Aproximadamente el 67% de los líderes de seguridad en México dijo que estos ataques también fueron dirigidos a la tecnología operativa (TO).

Así lo reveló el estudio “The Rise of the Business-Aligned Security Executive”, un estudio encomendado por Tenable a Forrester Consulting, y realizado a más de 800 empresas globales y líderes de ciberseguridad, que incluyó a 104 encuestados mexicanos. Al respecto, Luis Isselin, Country Manager de Tenable México, expresó que: “cada vez más las ciber amenazas tienen un impacto mayor al negocio, esto debido a la transformación digital que estaban emprendiendo muchas organizaciones antes de la pandemia y lo cual se agudizó durante la misma”.

A nivel mundial, menos del 50% de los líderes de seguridad dijo que encuadra las amenazas de ciberseguridad dentro del contexto de un riesgo específico para el negocio. Por ejemplo, aunque el 96% de los encuestados había desarrollado estrategias de respuesta a la pandemia COVID-19, el 75% de los líderes de negocios y de seguridad admitió que sus estrategias de respuesta estaban sólo “algo” alineadas.

Luis Isselin consideró que no existe una alineación en gran parte de las organizaciones entre los objetivos del negocio y las estrategias de ciberseguridad, muchas veces hay una desconexión, no hay una colaboración ni sincronización. “Adquirir la noción de la importancia de tener esa conexión va a permitir a las empresas ser más eficientes y efectivas en hacerle frente a las amenazas cibernéticas, donde no solo es cuestión de tecnología sino que el empleado tenga hábitos de higiene digital básicos;  se debe trabajar en procesos-personas-tecnología”.

Este estudio también destacó que los líderes de negocios desean una imagen clara de qué tanto están en riesgo y de cómo cambia ese riesgo a medida que planifican y ejecutan estrategias de negocios. Pero sólo cinco de 10 líderes en seguridad en México, dijeron que podían responder con un alto grado de confianza a la pregunta fundamental, “¿Qué tan seguros, o en riesgo, estamos?”, a pesar de la preponderancia de ciberataques que afectan a los negocios.

Luis Isselin comentó que hay un sentimiento falso de seguridad que está provocando que las organizaciones tengan estos ataques y nadie de los encuestados coincide en que esto ya se estabilizó o va a dejar de seguir creciendo.  De hecho tres cuartas partes esperan que los ataques sigan aumentando en los próximos dos años.

Las organizaciones que cuentan con líderes de seguridad y de negocios que están alineados en la medición y la gestión de la ciberseguridad como un riesgo estratégico para los negocios, entregan resultados demostrables. En comparación con sus colegas que trabajan aislados, los líderes de seguridad alineados con los negocios: el 90% de ellos tiene mucha o total confianza en su capacidad para demostrar que las inversiones en ciberseguridad están impactando positivamente el desempeño de la empresa, en comparación con el 55% de sus colegas que trabajan aislados.

Asimismo el 85% tiene métricas para hacer el seguimiento del ROI de ciberseguridad y del impacto en el desempeño del negocio, frente a sólo el 25 % de sus colegas que trabajan aisladamente. Además:

• Tienen tres veces más probabilidades de garantizar que los objetivos de ciberseguridad estén a la par de las prioridades de negocios.
• Tienen tres veces más probabilidades de tener una comprensión integral de toda la superficie de ataque de su organización.
• Tienen tres veces más probabilidades de usar una combinación de criticidad de activos y datos de vulnerabilidades al priorizar los esfuerzos de corrección.

Por último, Luis Isselin dijo que en la medida que las empresas se sigan digitalizando el riesgo directo al negocio será mayor, por lo que es importante que en las organizaciones haya una colaboración muy estrecha con la finalidad de que la ciberseguridad responda a los requerimientos del negocio y, sobre todo, sea un tema continuo.