Redacción Tekios“Una colección cada vez mayor de complejidades tecnológicas. Un programa de gestión de riesgos que, con sus brechas, es un riesgo por sí mismo. Transformaciones y proyectos que no producen los resultados que se buscan”. Estos son algunos obstáculos, producto de una visión fragmentada, que bloquean la existencia de una ciberseguridad que realmente sea confiable, según el Global Digital Trust Insights de 2024, edición México.
Hace unos días, PwC publicó el Global Digital Trust Insights de 2024, con los principales hallazgos de una encuesta a 3.876 ejecutivos de negocios y tecnología de las empresas más grandes del mundo (el 30% de los encuestados tiene ingresos de US$10 mil millones o más) donde concluye que hay un margen considerable para mejorar en los próximos 12 meses. La encuesta entrevistó a 133 ejecutivos mexicanos.
Suscríbete a nuestro newsletter
A partir de los principales hallazgos globales, la edición México, recién publicada, contrasta los resultados de este país con los globales. Aunque las tendencias son parecidas algunas preocupaciones cambian.
Estos son los cuatro hallazgos generales a nivel global.
- Los costos de las brechas de seguridad y el número de brechas de alto valor siguen en aumento.
- Aunque los ataques a la nube son la principal preocupación cibernética, alrededor de un tercio de las organizaciones a nivel global no tiene un plan de gestión de riesgos para abordar los desafíos de los proveedores de servicios en la nube.
- Solo la mitad está “muy satisfecha” con sus capacidades tecnológicas en áreas clave de ciberseguridad.
- Más del 30% de las empresas no sigue sistemáticamente lo que deberían ser prácticas estándar de ciberdefensa.
Encuentre aquí el documento, edición México y aquí el documento global.
LAS AMENAZAS MEXICANAS
En los próximos 12 meses, el 59 % de los participantes mexicanos en la encuesta dijo buscará mitigar sus riesgos tecnológicos y digitales, mientras que el 45% hará lo necesario respecto a la mitigación de hackeos, ransomware o cibervigilancia. En este caso la tendencia en México está muy acorde con los resultados globales, aunque la opción “Riesgos digitales y tecnológicos” supera al promedio global.
En cuanto a la necesidad de robustecer la seguridad, las filtraciones y hackeos parecen ser la preocupación mayor para los empresarios mexicanos (53 %) a diferencia de la preocupación global que son las Amenazas relacionadas con la nube (47%) y los ataques a dispositivos conectados como el internet de las cosas (42 %).
RIESGO, RESILIENCIA E INVERSIÓN
De acuerdo a los hallazgos de la encuesta gestionar los riesgos de ciberseguridad y privacidad de la información debe considerarse una tarea prioritaria en 2024.
Según los resultados de la encuesta cuatro de cada 10 empresas mexicanas encuestadas responden usualmente rápido a las amenazas para que puedan emerger más fuertes ante disrupciones; y seis de cada 10 de las empresas encuestadas indicaron que identifican procesos críticos del negocio para mejorar su resiliencia.
Los resultados de la encuesta revelaron que cinco de cada 10 empresas mexicanas tuvieron pérdidas de hasta US$999 mil como resultado de una exfiltración, en los últimos tres años, y 26% destacó daños económicos de un millón y hasta más de US$20 millones en el mismo periodo. A nivel global, el porcentaje de empresas que informaron costos de un millón de dólares o más por su peor brecha en los últimos tres años aumentó nueve puntos porcentuales respecto a los resultados de la encuesta del año pasado (27% vs. 36%).
Según el documento, las empresas que administran sus riesgos de ciberseguridad y privacidad de la información de forma más adecuada son las que asignan un presupuesto a inversiones que garanticen la protección de sus activos digitales. En el caso mexicano, entre 81-100% del tiempo, la organización asigna un presupuesto cibernético con base en sus principales riesgos, mientras que un 38% lo hace de manera frecuente, entre 61-80% del tiempo. “Sin embargo, las empresas continúan aumentando su presupuesto en ciberseguridad, incluso en un entorno macroeconómico caracterizado por altas tasas de interés”, dice el informe.
La inversión, dice el documento, tiene que mejorar la capacidad de respuesta ante disrupciones con mayor proactividad de resiliencia, es decir, podría evolucionar la función de la ciberseguridad hacia una más estratégica y menos operativa. La simplificación de la tecnología y los procesos puede mejorar este enfoque” y concluye, “Ante una escasez de talento especializado y mayor carga de trabajo en ciberseguridad, las organizaciones deben continuar invirtiendo en las personas”.
SEGURIDAD EN LA NUBE
Según los resultados de la encuesta “La rápida implementación de soluciones en la nube, en algunos casos, ha conducido a la percepción de que la seguridad en la nube opera de manera aislada, sin una plena integración en la estrategia general de ciberseguridad y privacidad de datos. Por ello, la seguridad en esta tecnología plantea desafíos para las empresas con sus proveedores de servicios en la nube.”
47% de los ejecutivos mexicanos encuestados destacó que su empresa utiliza más de un proveedor de nube (privada y pública, es decir, híbrida). Además, 38% señaló utilizar la nube híbrida para software bajo demanda (SaaS, por sus siglas en inglés), 30% en plataformas (PaaS, por sus siglas en inglés) y 28% en infraestructura (IaaS, por sus siglas en inglés). 49%)señaló que aborda los desafíos con sus proveedores de nube al implementar y actualizar un plan de recuperación ante desastres, 43% al administrar la detección y registro de amenazas y 41% al negociar los contratos con sus proveedores de servicios en la nube.
En este caso, las respuestas mexicanas muestra que casi la mitad de las empresas implementó un plan que se actualiza continuamente. Las respuestas globales se reparten de manera casi igual entre la “implementación de un plan y se actualiza continuamente” y “se implementó un plan de administración de riesgos”. El documento de PwC concluye para el caso mexicano “El uso de la nube debe ser incorporado en la estrategia de ciberseguridad y privacidad de la información, en lugar de ser tratado como una iniciativa separada de seguridad. Una medida fundamental que las empresas pueden llevar a cabo es definir una posición clara sobre cómo garantizar la seguridad de esta tecnología. Esto implica la gestión efectiva de los riesgos asociados, como los controles de acceso, la administración de identidades”
IA, LA NUEVA FRONTERA
Ocho de cada 10 ejecutivos mexicanos encuestados respondieron que la inteligencia artificial generativa podría ayudar a su compañía a desarrollar nuevas líneas de negocio y arrojar incrementos tangibles en la productividad.
El documento de PwC concluye sobre la IA “La implementación acelerada de herramientas de inteligencia artificial (IA) en las empresas marca una nueva frontera en términos de innovación y aumento de la productividad. Sin embargo, también conlleva un punto crítico en cuanto a nuevas amenazas y vulnerabilidades si no se integra adecuadamente en una estrategia de ciberseguridad sólida”.
El reto para la alta dirección de las empresas mexicanas y globales, según el documento, es: cómo implementar nuevas herramientas sin permitir que nuevos riesgos aparezcan en la organización y en la sociedad.
REGULAR PARA CRECER
Alrededor de un tercio de los encuestados en el mundo está de acuerdo en que hay cuatro tipos de regulación que serán las más importantes para asegurar el crecimiento futuro de sus organizaciones: regulación sobre IA (37%), leyes para la armonización de ciberseguridad y protección de datos (36%), la obligatoriedad del reporte de la gestión de ciberriesgos, estrategia y gobierno (35%) y los requerimientos de resiliencia operativa (32%).
En el caso de México los resultados de la encuesta muestran, a diferencia de los resultados globales, un especial interés en “Armonizar leyes de privacidad y/o protección en las regiones donde operamos”. Casi la mitad de los encuestados respondieron que este es uno de los objetivos y principios regulatorios que pueden asegurar el crecimiento futuro de los ingresos.
LAS RECOMENDACIONES PwC
Para concluir, y a partir de los resultados de la encuesta, PwC dice que para definir una estrategia de ciberseguridad robusta, una empresa mexicana o en cualquier parte del mundo debe considerar lo siguiente:
- Ubica a la ciberseguridad en el centro de todas las iniciativas digitales
Las empresas que se encuentran en un proceso de transformación e innovación tecnológica necesitan poner a la ciberseguridad y privacidad de la información en el centro. No hacerlo podría representar no solo un riesgo para las iniciativas a implementar, sino un fuerte impacto para el crecimiento del negocio y su reputación.
2. Adopta un enfoque más estratégico en lugar de uno operativo
Es fundamental priorizar un enfoque estratégico en lugar de uno meramente operativo en los departamentos de seguridad tecnológica. Centrarse en la operación puede producir una falta de visión a largo plazo y respuestas reactivas ante las amenazas cibernéticas. En cambio, adoptar una perspectiva estratégica permite a las organizaciones anticipar, prevenir y abordar de manera proactiva los desafíos de seguridad, mejorando la administración de riesgos y la capacidad de respuesta efectiva frente a las amenazas presentes y futuras en el ámbito cibernético.
3. Maximiza la inversión en tecnología, procesos y talento humano
En un mundo donde los riesgos cibernéticos son una constante, es fundamental que todas las organizaciones reduzcan su exposición a estas amenazas. Para lograrlo de manera efectiva, se necesita diseñar un presupuesto que simplifique las soluciones de seguridad tecnológica, eliminando la complejidad innecesaria y garantizando una gestión más eficiente de los recursos. Al simplificar los procesos, las organizaciones pueden optimizar la efectividad de sus estrategias de seguridad cibernética, lo que es esencial en un entorno en constante evolución. Además, invertir en la capacitación de los colaboradores garantiza que estén preparados para abordar estas amenazas y responder a las cambiantes demandas del mercado.
4. Traspasa barreras
La mentalidad de ciberseguridad y protección de la información debe permear todas las áreas de la compañía. Tanto los especialistas en ciberseguridad como los colaboradores no tecnológicos y la alta dirección deben estar capacitados para reducir los riesgos cibernéticos. Esto implica una cultura organizativa en la que todos comprendan su responsabilidad en la seguridad cibernética y estén preparados para actuar en consecuencia.
