Rodrigo González.
¿Cuáles son las principales conclusiones del estudio?
Entre las principales conclusiones del estudio se encuentran que uno de cada tres ataques cibernéticos resulta en una violación de seguridad en las empresas y, a pesar de eso, 75% de las compañías a nivel mundial afirma confiar en su estrategia de ciberseguridad.
¿Existe una real capacidad en los equipos de TI de las empresas para proteger a sus compañías de potenciales ciberataques?
Actualmente no se está enfrentando el problema de forma eficiente. Muestra de esto es que más de la mitad de los ejecutivos consultados (51%) por el estudio de Accenture, afirma que le toma meses detectar ataques sofisticados de seguridad, el 17% tarda un año o más e incluso más de un tercio de los ataques exitosos de seguridad no son detectados.
La figura del CISO, ¿qué tan relevante o imprescindible es?
La figura del CISO es muy importante, pero más relevante aún es que las políticas de seguridad de la información deben ser parte de la estrategia de negocio y, por lo tanto, formar parte de la agenda de los directorios de las empresas. Sin una gestión de riesgos integral no es posible avanzar en ese sentido. El 70% de los consultados por el reporte de Accenture dice que la ciberseguridad ya es parte de la cultura de sus compañías y que es un tema abordado en la agenda de sus directorios. Sin embargo, como podemos observar, esa respuesta no concuerda con la tasa de éxito de los ciberataques. Este fenómeno se explica mayormente porque las empresas se encuentran hoy principalmente enfocadas en temas de compliance, más que en una estrategia.
¿Cuáles son los errores más comunes al abordar la seguridad?
Las compañías deben ir más allá del compliance y abordar la ciberseguridad como un tema “core” de negocio, basado en la transformación digital. Muchas empresas miden su desempeño a partir del cumplimiento de objetivos planteados anteriormente, pero no en prevenir o mitigar los posibles impactos de violaciones de seguridad de la información en el negocio.
¿Existe conciencia de la incidencia y frecuencia de los ataques internos?
Sí, existe conciencia, pero la estrategia de negocio no está enfocada de esa forma. Así, de acuerdo con el estudio, mientras los encuestados afirman que los ataques internos tienen el impacto más grande en cuanto a ciberseguridad, 58% prioriza los controles perimetrales, en vez de enfocarse en las amenazas internas.
¿En qué están invirtiendo más en ciberseguridad y hacia dónde deberían apuntar realmente sus inversiones?
El reporte de Accenture muestra que las empresas seguirán invirtiendo en las mismas medidas, en vez de hacerlo en controles nuevos y diferentes para mitigar las amenazas. Por ejemplo, entre 44% y 54% dice que doblará sus gastos actuales en ciberseguridad, aunque las tecnologías específicas en uso no han detectado ni reducido de forma significativa ataques de seguridad en desarrollo. Las prioridades de las empresas están enfocadas en proteger la reputación de la compañía (54%); resguardar la información de la empresa (47%); y proteger la información de los clientes (44%). Sin embargo, pocas compañías invertirán en mitigar sus pérdidas financieras (28%) o en entrenamiento de ciberseguridad (17%), elementos clave para lograr la efectividad en la seguridad de la información. Además, 42% de las organizaciones afirma necesitar presupuesto adicional para contratar los talentos necesarios y para entrenamiento.
Hay una tendencia a hacer más de lo mismo, a pesar de que puede no ser tan efectivo…
Sí. A pesar de que los mismos ejecutivos no ven resultados satisfactorios en las medidas adoptadas para proteger la información, siguen entregándole el mismo foco. Es de gran relevancia reforzar la capacitación y no enfocar gran parte de los esfuerzos en el control de posibles ataques externos, ya que, como hemos observado, los ataques con mayores impactos son los internos.
A la luz de los resultados del estudio, ¿cuáles son los principales retos para las empresas?
El principal desafío es priorizar dónde enfocar los recursos para proteger efectivamente a las organizaciones. Tal como dije anteriormente, más del 50% de los encuestados indica que los ataques internos tienen el impacto cibernético más importante. Sin embargo, dos de tres consultados afirman no confiar en sus habilidades internas para monitorear violaciones de seguridad de la información. A pesar de esto, la mayoría de los entrevistados indica que actualmente sigue enfocando su estrategia de ciberseguridad en el ámbito externo. De esa forma, se generan bajos retornos en comparación a las inversiones.
Para tener resultados tangibles, las compañías deben mejorar el alineamiento entre sus estrategias de ciberseguridad y sus objetivos de negocio. En este sentido, la transformación digital es vital. Las cifras hablan por sí solas: de acuerdo con un reporte del World Economic Forum y Accenture, solo en la industria de telecomunicaciones, fueron robados 1.000 millones de datos de identidad en el año 2014, y en caso de continuar esta tendencia, las brechas de seguridad podrían tener un impacto económico de US$3 billones hacia 2020 solo para el sector telco. El desarrollo de políticas de seguridad ahorraría solo a estas compañías US$80.000 millones, mientras a los consumidores US$60.000 millones. Sin embargo, para tener éxito, la transformación digital no debe ser realizada en silos, sino que debe ser la base de modelo de negocio de las empresas.
En el reporte “Building Confidence: Facing the Cybersecurity Conundrum”, Accenture entrevistó a 2.000 expertos de seguridad de compañías de ingresos anuales de US$1.000 millones, en más de 15 países. La encuesta consultó sobre temáticas y sus percepciones en ciberataques, la efectividad de sus esfuerzos actuales de seguridad, y sus actuales inversiones en ese aspecto.
