- Para el 55% de las empresas, la ciberseguridad poco o nada incide en su estrategia corporativa y solo el 32% de los CISO (Jefes de Seguridad de la Información) utilizan el espacio con la Junta Directiva para discutir cuestiones prospectivas e impulsar avances en la materia.
- En la medida que avanza la transformación digital, las amenazas cibernéticas son cada vez mayores: la interconectividad, el uso de nuevas tecnologías, la integración con terceras partes, entre otros, incrementan los riesgos.
La ciberseguridad se ha convertido en un factor crítico de éxito y no solo en una disciplina en el mundo corporativo. Sin embargo, sorprende que, según la última Encuesta Global de Seguridad de la Información de EY, publicada en 2020, solo el 18% de empresas opina que la seguridad de la información influye en su planeación estratégica de forma regular y para un 55% influye poco o nada en su estrategia corporativa.
“La gestión de riesgos cibernéticos es uno de los pilares de la disciplina fundamentales hoy en día. Una estrategia de este tipo debidamente implementada tiene un impacto económico significativo en los ingresos de la compañía. Sin embargo, vemos que actualmente muchas empresas no cuentan con una representación real de su perfil de riesgo cibernético. Y, cuando lo tienen, este no está estructurado de una manera fácilmente digerible para los altos mandos. Todo esto dificulta el proceso de toma de decisiones por parte de la Junta Directiva y expone permanentemente la información de la empresa, que podría ser vulnerada fácilmente en un ciberataque”, comentó Gustavo Díaz, Socio Líder de Ciberseguridad para Servicios Financieros de EY Latinoamérica Norte en el marco de la feria virtual “Evolution or revolution? El futuro de los servicios financieros”, organizada por EY a nivel regional.
El informe también muestra que el 70% de las organizaciones afirma que ahora sus directivos tienen un conocimiento exhaustivo de la ciberseguridad o que están adoptando medidas positivas para mejorarla. No obstante, el 77% sigue operando con un único sistema de ciberseguridad y con opciones limitadas para adaptarse a nuevos entornos, mientras que el 87% de las empresas advierte que aún no disponen de presupuesto suficiente para proporcionar los niveles de ciberseguridad que desean.
Una ventaja de contar con una estrategia de gestión de riesgos es que permite ponerle valor en términos monetarios a los potenciales impactos, lo cual le da insumos al directorio de la compañía para tomar decisiones de manera más rápida.
Sin embargo, actualmente, solo el 32% de los CISO utilizan el espacio con la Junta Directiva para discutir cuestiones prospectivas, relacionadas a la gestión de riesgos cibernéticos e impulsar el cambio.
Algunos de los desafíos más relevantes a los que se enfrentan las organizaciones actualmente en el plano digital son:
- La alta dependencia en tecnología de la información, la cual cada vez se utiliza con mayor frecuencia para soportar las operaciones de los negocios (especialmente, en el ámbito financiero).
- El uso de tecnologías emergentes que hacen que se incrementen los riesgos a los que las organizaciones se encuentran expuestas (ej.: computación en la nube, blockchain, inteligencia artificial).
- La necesidad de mantenernos conectados a través de diferentes dispositivos tecnológicos ya sea por motivos personales o laborales
- Recurrir a terceros proveedores de tecnología para poder soportar las actividades y operaciones del negocio. Esto se convierte en un riesgo al tener estas personas acceso a la tecnología e información de la empresa.
“Para gestionar el ciber riesgo es necesario tomar en cuenta cuáles son los activos de información más valiosos para la empresa, contar con una serie de controles y monitorear todas las acciones” afirmó Alejandro Guerra, gerente de riesgo de ciberseguridad de Bancolombia.
Es importante que, para una debida estrategia de gestión de riesgos cibernéticos, la organización identifique primero cuáles son sus activos de información. Se trata de aquella información que tiene valor para la organización con relación a sus clientes, empleados, productos y servicios. Por ejemplo, en el caso de un banco, serían las tarjetas de crédito y sus canales ATM (cajeros automáticos), por decir algunos, los cuales podrían ser vulnerados por un ciber atacante en caso de no encontrarse debidamente protegidos.
Luego de conocer los distintos activos de información de la empresa, un aspecto fundamental es identificar sus vulnerabilidades o debilidades, las cuales se encuentran presentes en los componentes tecnológicos que soportan dichos activos de información (ej.: bases de datos, servidores y redes en donde se soporta la data de la compañía).
