A medida que los sistemas de una organización se vuelven más complejos y las conexiones digitales se multiplican, también crece el riesgo de un crimen cibernético. Los atacantes están al acecho de vulnerabilidades dentro de las redes, a medida que 2021 cerró como uno de los peores años registrados en ciberseguridad.
La encuesta anual Global Digital Trust Insights 2022 de PwC analiza las complejidades de la ciberseguridad y pregunta, ¿son los negocios actualmente demasiado complejos para asegurarlos? Los líderes están preocupados, y con razón, ya que el creciente lazo entre tecnología y negocios plantea riesgos cibernéticos y de privacidad. No toda la tecnología se puede simplificar, pero donde sea posible, debe hacerse de manera consciente y deliberada, y la alta dirección tiene un papel fundamental que desempeñar.
Las preguntas importantes
El informe hace cuatro preguntas que ayudarán a alinear el negocio para generar importantes dividendos de protección cibernética. En sencillo, son las siguientes:
¿Puede el CEO hacer la diferencia en la ciberseguridad de la organización?
Según la encuesta anual a CEOs de PwC, las amenazas cibernéticas se encuentran entre las mayores preocupaciones de los líderes empresariales, poniendo en riesgo su potencial crecimiento. Sin embargo, los hallazgos del Digital Trust Insights sugieren que existe una brecha. Los CEO consideran que están muy involucrados, apoyando al establecimiento y logro de los objetivos cibernéticos, todo lo contrario de lo que piensan sus equipos. Según los encuestados, es más probable que los CEO participen en problemas cibernéticos y de privacidad solo después de una infracción, una revisión de cumplimiento o durante la discusión de métricas clave en reuniones de directorio. Dada la importancia de la responsabilidad del CEO al inculcar la cultura, este desajuste podría significar un desastre si una falsa sensación de seguridad invade la empresa.
La brecha también asoma cuando se les pregunta a los encuestados cuánto apoyo brinda el CEO al CISO (Chief Information Security Officer). Los directores ejecutivos perciben de manera consistente que brindan recursos y fondos adecuados, ayudan a integrar la privacidad y la cibernética en las operaciones clave y las decisiones comerciales, y empoderan al liderazgo cibernético para aclarar los roles y responsabilidades, más de lo que sus contrapartes no ejecutivas creen que lo hacen.
El compromiso y el apoyo del CEO tiene un impacto a largo plazo: los ejecutivos globales en la mayoría de las regiones dicen que educar a los CEO y a los directorios para que cumplan mejor con su rol cibernético es el aspecto más importante de una sociedad más segura. Dado que muchas empresas no reciben el apoyo que necesitan del C-Suite, es hora de que los CEO hagan declaraciones explícitas que establezcan el imperativo de seguridad y privacidad en toda la organización, empoderen y respalden a sus CISO, y modifiquen los modelos comerciales/operativos en función de sus consejos.
¿La organización es muy compleja para asegurar?
La ciberseguridad se basa en saber qué está sucediendo en las funciones comerciales, lo que no es tarea sencilla cuando una organización es demasiado compleja. La complejidad no es algo malo en sí mismo: a medida que una empresa crece, suele requerir más procesos. Cuanto más grande es una organización, más personas y tecnología necesita para atender a los clientes. Pero los riesgos asociados pueden pasar fácilmente desapercibidos hasta que ocurre un ataque. La simplificación puede mejorar la seguridad, sin embargo, solo el 31% de los encuestados han completado alguna optimización de sus operaciones, y una quinta parte no ha hecho nada o recién está comenzando.
Pasar a un enfoque centrado en la nube, cuando se hace correctamente, sin duda podría ayudar, ya que permite la flexibilidad y la innovación acelerada al mismo tiempo que se simplifican los procesos y la arquitectura de TI. Las empresas deben asegurarse de incluir al CISO y los equipos de seguridad desde el principio de cualquier migración o adopción.
¿Cómo saber si se está asegurando la organización frente a los riesgos más importantes?
Los datos son esenciales para poder comprender los riesgos y las oportunidades, pero deben ser correctos. Para la confianza de los datos, es decir, precisos, verificados y seguros, se necesita una buena base.
Los datos son el activo que más codician los atacantes, por lo que para minimizar el riesgo se debe reducir el objetivo. Para empezar, las empresas deben conservar solo lo que necesitan y proteger lo que tienen. Es probable que no sea necesario almacenar borradores, duplicados, datos antiguos (de clientes o empleados) y otros datos de bajo valor, especialmente cuando los de alto valor deben tener prioridad. No solo es un riesgo para los piratas informáticos, sino también un posible problema de cumplimiento normativo.
La información sobre amenazas que brindan los datos y las herramientas que ayudan a explicarlos y usarlos, permite a los ejecutivos a tomar mejores decisiones respecto a los riesgos. Eso la convierte en un elemento muy poderoso, justificando una mayor inversión por parte del directorio.
¿Qué tan bien se conocen los riesgos de terceros y de la cadena de suministro?
Los riesgos de terceros son puntos ciegos que los criminales cibernéticos están cada vez más dispuestos a explotar; y las complejidades de las asociaciones comerciales y las redes de proveedores están ocultando estos riesgos. Los ejecutivos son conscientes del riesgo de las cadenas de suministro de software; sin embargo, pocos han evaluado formalmente su exposición.
A medida que las interacciones digitales se han vuelto más comunes, el costo de asociarse con terceros se ha reducido y, en consecuencia, la dependencia sigue aumentando. En los últimos diez años, los proveedores y las actualizaciones de software secuestradas han representado el 60% de los ataques y divulgaciones de la cadena de suministro de software. Incluso una organización con buenas defensas puede verse perjudicada por un ataque desde el lado del proveedor.
Detectar y detener estos ataques puede ser muy difícil, dadas las interdependencias de los componentes, por lo que es imprescindible mapear las relaciones y dependencias con terceros para mejorar la visibilidad de los riesgos. Los proveedores de software deben ser examinados en función de las pruebas y los estándares de rendimiento. La colaboración es cada vez más importante para el ecosistema de negocios cibernéticos de una organización, como el intercambio de inteligencia sobre amenazas. Sin embargo, hasta ahora, no se ha hecho lo necesario.
Artículos publicados en Digital Pulse no representan necesariamente las opiniones de las firmas miembro de la red PwC. Revisiones y menciones de publicaciones, productos o servicios no constituyen auspicio ni recomendación de compra. Digital Pulse es publicada por algunas firmas miembro de la red PwC. Adaptación del texto original en inglés publicado por Digital Pulse gestionado por PwC Perú.
More from my site
¿Cómo impactó el COVID-19 las operaciones de TI?
¿Cómo cambia la contabilidad de los arrendamientos con la NIIF 16?
El qué y quién de las verdaderas transformaciones
¿Qué preocupa a las aseguradoras?
El regreso al trabajo: ¿Qué cambios podemos esperar?
“Las empresas que realizan actividades indispensables deberán adoptar medidas de prevención y control para evitar la propagación del virus”