Por Víctor LozanoEste problema está presente en las organizaciones. Un empleado que enciende su computadora desde casa corre un riesgo. Para contrarrestarlo es necesario alinear a toda la compañía.
La era informática no solo trajo grandes avances en todos los aspectos de la vida. En el caso específico de las empresas, estas fueron mucho más competitivas, se automatizaron, y la industrialización ingresó a una nueva era de desarrollo.
No obstante, este crecimiento también ha significado preocupación por los riesgos que implicaron y que implican actualmente, pues, conforme avanza la tecnología, también se crean nuevas formas de atacar, quizá, el componente más valioso que las compañías poseen hoy en día: la información. Al analizar las respuestas de la Encuesta de riesgo cibernético de Marsh y Microsoft 2022, se pueden determinar ocho tendencias en lo que se refiere a riesgo cibernético.
Tendencia 1. Los objetivos cibernéticos específicos de la empresa, incluyendo las medidas de seguridad cibernética, los seguros, los datos y los análisis, y los planes de respuesta a incidentes, deben estar alineados con la creación de la resiliencia cibernética frente a la simple prevención de incidentes, ya que toda organización puede esperar un ataque cibernético. El 73% de las empresas consultadas afirmaron que recibieron un ataque cibernético.
Tendencia 2. De acuerdo con el estudio, el ransomware (programas maliciosos que secuestran datos) es considerado la principal amenaza cibernética a la que se enfrentan las empresas, pero no es la única. Otras amenazas generalizadas son la suplantación de identidad electrónica (phishing)/ingeniería social, violaciones de la privacidad y la interrupción de negocios debido a un ataque a un proveedor externo.
Tendencia 3. Los seguros son una parte importante de la estrategia de gestión de riesgos cibernéticos e influyen en la adopción de mejores prácticas y controles. El 61% de los encuestados expresaron que su empresa compra algún tipo de cobertura de seguro cibernético.
Tendencia 4. La adopción de más controles de seguridad cibernética resulta en una mayor calificación de higiene cibernética. Solo el 3% de los encuestados calificaron como excelente la higiene cibernética de su empresa.
Tendencia 5. Las organizaciones tienen cierto retraso en la medición del riesgo cibernético en términos financieros, lo que perjudica su capacidad para comunicar eficazmente las amenazas cibernéticas en toda la empresa. Solo el 26 % de los encuestados dijeron que su organización utiliza medidas financieras para medir el riesgo cibernético.
Tendencia 6. Sigue aumentando la inversión en la mitigación de los riesgos cibernéticos, aunque las prioridades de gasto varían según la empresa. El 64% de las compañías encuestadas aseguraron que el estímulo para aumentar las inversiones en riesgos cibernéticos fue haber sufrido un ataque.
Tendencia 7. Las nuevas tecnologías deben ser evaluadas y supervisadas de forma continua, no solo durante la exploración y análisis previos a su adopción.
El 54% de las empresas consultadas afirmaron que no amplían las evaluaciones de riesgo de las nuevas tecnologías, más allá de su aplicación.
Tendencia 8. Las empresas adoptan muchas medidas de seguridad cibernética, pero, en general, pasan por alto a sus proveedores/cadenas de suministro digitales. Solo un 43% ha llevado a cabo una evaluación de riesgos de su proveedor/cadena de suministro.
Equipo resiliente
De acuerdo con el estudio de Marsh y Microsoft, es importante entender cómo los profesionales de una empresa ven su función cuando se trata de seguros cibernéticos, gestión de incidentes cibernéticos, herramientas y servicios de seguridad cibernética, entre otros aspectos. ¿Consideran que su fun ción es tomar decisiones? ¿Forman parte del equipo general, con un aporte a las decisiones? ¿O no están involucrados en absoluto? Las respuestas serán de gran ayuda para determinar los próximos pasos que debe seguir su empresa para desarrollar resiliencia cibernética.
Al respecto, se encontró que el nivel de involucramiento en diversas áreas de la gestión de riesgos cibernéticos es una mezcla de funciones y responsabilidades. Por ejemplo, los profesionales de la gestión de riesgos y de los seguros están en el equipo de gestión de incidentes cibernéticos, pero, por lo general, están ausentes de los debates sobre las herramientas de seguridad cibernética.
“No existe un líder evidente para la toma de decisiones en torno al seguro cibernético. Además, más de una cuarta parte de los administradores de riesgos y de los profesionales de las finanzas sostienen que no participan en la gestión de los incidentes cibernéticos”, refiere el estudio.
Aunque las respuestas reflejan un deseo generalizado de aumentar el gasto en riesgo cibernético, el lugar exacto en el que se deben realizar las inversiones varía según la función.
Más en Andina:
(FIN) DOC/JJN
JRA
Publicado: 30/5/2022