Una nueva investigación de Marsh y Microsoft identifica 8 tendencias clave para ayudarles a los líderes de todos las áreas a alinearse y priorizar sus estrategias cibernéticas para el 2022 en adelante.
Hoy en día, las empresas siguen aumentando la inversión en una serie de soluciones tecnológicas, opciones de financiación de riesgos, talento calificado y otras medidas en su enfoque de riesgo cibernético, para crear resiliencia. Sin embargo, el costo de casi tres años de interrupción en el lugar de trabajo, transformación digital y ataques de ransomware significa que la mayoría de los líderes no confían más que hace dos años en su capacidad para gestionar el riesgo cibernético. Este es uno de los hallazgos de la Encuesta de riesgo cibernético de Marsh y Microsoft 2022, la tercera colaboración de este tipo que las empresas han llevado a cabo en los últimos cuatro años.
El riesgo cibernético está presente en la mayoría de las organizaciones. Un empleado o proveedor que enciende su computadora portátil desde su casa conlleva un riesgo. Un usuario que conecta un nuevo producto a la Internet de las cosas genera un riesgo. Decidir no lanzar un producto nuevo por temor a las amenazas cibernéticas es un riesgo. Y la lista sigue. Para contrarrestar estos riesgos es necesario alinear a toda la empresa.
Tendencias principales en materia de riesgo cibernético
Al analizar las respuestas de la Encuesta de riesgo cibernético de Marsh y Microsoft 2022, se destacan ocho tendencias:
1. Los objetivos cibernéticos específicos de la empresa, incluyendo las medidas de seguridad cibernética, los seguros, los datos y los análisis, y los planes de respuesta a incidentes, deben estar alineados con la creación de la resiliencia cibernética frente a la simple prevención de incidentes, ya que toda organización puede esperar un ataque cibernético. El 73% de las empresas afirma haber sufrido un ataque cibernético.
2. El ransomware (programas maliciosos que secuestran datos) es considerada la principal amenaza cibernética a la que se enfrentan las empresas, pero no es la única. Otras amenazas generalizadas son la suplantación de identidad electrónica (phishing)/ingeniería social, violaciones de la privacidad y la interrupción de negocios debido a un ataque a un proveedor externo.
3. Los seguros son una parte importante de la estrategia de gestión de riesgos cibernéticos e influyen en la adopción de mejores prácticas y controles. El 61% expresó que su empresa compra algún tipo de cobertura de seguro cibernético.
4. La adopción de más controles de seguridad cibernética resulta en una mayor calificación de higiene cibernética. Sólo 3% de los encuestados calificó como excelente la higiene cibernética de su empresa.
5. Las organizaciones tienen cierto retraso en la medición del riesgo cibernético en términos financieros, lo que perjudica su capacidad para comunicar eficazmente las amenazas cibernéticas en toda la empresa. Sólo 26% de los encuestados dijo que su organización utiliza medidas financieras para medir el riesgo cibernético.
6. Sigue aumentando la inversión en la mitigación de los riesgos cibernéticos, aunque las prioridades de gasto varían según la empresa. El 64% dijo que el estímulo para aumentar las inversiones en riesgos cibernéticos fue haber sufrido un ataque.
7. Las nuevas tecnologías deben ser evaluadas y supervisadas de forma continua, no sólo durante la exploración y análisis previos a su adopción. El 54% de las empresas afirma que no amplía las evaluaciones de riesgo de las nuevas tecnologías más allá de su aplicación
8. Las empresas adoptan muchas medidas de seguridad cibernética, pero en general pasan por alto a sus proveedores/cadenas de suministro digitales. Sólo 43% ha llevado a cabo una evaluación de riesgos de su proveedor/cadena de suministro.
Formando un equipo resiliente
Es importante entender cómo los profesionales de una empresa ven su función cuando se trata de seguros cibernéticos, gestión de incidentes cibernéticos, herramientas y servicios de seguridad cibernética, etc. ¿Consideran que su función es la de tomar decisiones? ¿Forman parte del equipo general, con un aporte a las decisiones? ¿O no están involucrados en absoluto? Las respuestas serán de gran ayuda para determinar los próximos pasos que debe seguir su empresa para desarrollar resiliencia cibernética.
Encontramos que el nivel de involucramiento en diversas áreas de la gestión de riesgos cibernéticos es una mezcla de funciones y responsabilidades. Por ejemplo, los profesionales de la gestión de riesgos y de los seguros, suelen estar en el equipo de gestión de incidentes cibernéticos, pero, por lo general, están ausentes de los debates acerca de las herramientas y servicios de seguridad cibernética. No existe un líder evidente para la toma de decisiones en torno al seguro cibernético. Además, más de una cuarta parte de los administradores de riesgos y de los profesionales de las finanzas afirman que no participan en la gestión de los incidentes cibernéticos.
Aunque las respuestas reflejan un deseo generalizado de aumentar el gasto en riesgo cibernético, el lugar exacto en el que deben realizarse las inversiones varía según la función. El motivo por el que la claridad de las funciones y una autoridad evidente para la toma de decisiones son importantes, se debe a que ayuda a las organizaciones a maximizar la eficiencia de esas inversiones.
Mejores prácticas
Un enfoque de mejores prácticas para la gestión de riesgos cibernéticos abarca todas las funciones de la organización. Esto incluye invertir y comprometerse con un conjunto amplio, equilibrado y continuamente actualizado de recursos y actividades para mitigar los riesgos cibernéticos, así como reforzar la resiliencia cibernética. Sin embargo, es poco probable que incluso las mejores herramientas y actividades, alcancen su potencial si no existe una comunicación eficaz en toda la empresa.