Análisis sobre México:es momento de que los líderes de ciberseguridad y del negocio se alineen
Con el aumento de los ataques cibernéticos, un nuevo estudio muestra cómo la desconexión entre los ejecutivos del área de ciberseguridad y del área de negocios pone en riesgo a las organizaciones de México.
La gran mayoría de las organizaciones de México (95 %) sufrió, al menos, un ataque cibernético con impacto en el negocio1 durante el último año. Casi tres cuartos (74 %) prevé que los ataques cibernéticos aumenten en los próximos 24 meses.
Los datos se extrajeron de El ascenso del ejecutivo de seguridad alineado con el negocio: un análisis sobre las organizaciones mexicanas. El estudio, encomendado por Tenable a Forrester Consulting, se basa en los datos de una encuesta realizada a 104 ejecutivos de negocios y de seguridad en México.
La investigación señala una desconexión alarmante entre los líderes del área de seguridad y del área de negocios; esto supone un desafío para las organizaciones mexicanas a la hora de gestionar su riesgo cibernético de manera eficaz. Por ejemplo, aunque casi todos los líderes de seguridad encuestados (97 %) afirmaron que los altos ejecutivos o la junta de su organización les habían pedido que hicieran una presentación sobre el riesgo cibernético, solo cinco de cada diez dijeron que podían responder con un alto nivel de confianza a la pregunta "¿Qué tan seguros, o en riesgo, estamos?". Y menos de la mitad de los líderes de seguridad en México planteó el impacto de las amenazas cibernéticas dentro del contexto de un riesgo específico para el negocio.
Sin embargo, esto es aún más preocupante: mientras las organizaciones se apresuraban a adoptar nuevas prácticas de trabajo remoto en respuesta a la pandemia de la COVID-19, los delincuentes cibernéticos aprovecharon la oportunidad. Tres de cada diez líderes de negocios y de seguridad mexicanos informaron que sufrieron ataques de malware o de phishing relacionados con la COVID-19; un desafortunado 4 % fue víctima de ambos tipos de ataque. De hecho, el 75 % de los líderes de seguridad están muy o extremadamente preocupados por que los cambios en la fuerza de trabajo relacionados con la COVID-19 aumenten el nivel de riesgo de sus organizaciones.
No obstante, incluso al enfrentarse a una pandemia mundial, el estudio muestra que los líderes de negocios y de ciberseguridad no se conectaron entre sí: el 79% de los encuestados dijo que sus estrategias de respuesta a la COVID-19 estaban, en el mejor de los casos, solo "un poco" alineadas. Esta falta de alineación tiene efectos importantes en las organizaciones de México, ya que los encuestados experimentaron uno o más de los siguientes como resultado de un ataque cibernético durante los dos últimos años:
- Pérdida de la productividad (47 %)
- Robo de identidad (29 %)
- Pérdida de datos de los empleados (28 %)
- Pérdidas financieras o robo (27 %)
- Pérdida de datos de los clientes (25 %)
Los desafíos tecnológicos contribuyen a la desconexión
Una gran cantidad de problemas organizativos, operativos y tecnológicos contribuyen a la falta de alineación entre el área de negocios y el área de ciberseguridad de las organizaciones mexicanas. Por ejemplo, más de la mitad de los líderes de seguridad (53 %) dijo que sus equipos no tenían una buena visibilidad hacia el estado de la seguridad de los activos más críticos de su organización, y solo el 51 % dijo que había obtenido una comprensión y una evaluación integrales de toda la superficie de ataque de la organización.
Sin embargo, hay medidas que los líderes de seguridad pueden adoptar hoy mismo para ayudar a mejorar la alineación con el negocio. Entre ellas, establecer un ritmo de comunicación periódico con los colegas del área de negocios, y trabajar en conjunto a fin de identificar los activos más críticos para los negocios de la organización. Una vez que los líderes de seguridad tengan una comprensión clara de qué activos son los más importantes para el negocio, tendrán más herramientas para evaluar el riesgo y comunicarlo mediante métricas que los ejecutivos de negocios puedan comprender.
Cuando los equipos de negocios y de seguridad están alineados, los resultados son notables. Por ejemplo, el estudio revela lo siguiente:
- Los líderes de seguridad alineados con el negocio tienen ocho veces más probabilidades que aquellos colegas que trabajan aisladamente de tener más confianza en su capacidad para informar sobre el nivel de seguridad o de riesgo de sus organizaciones.
- El 85 % de los líderes de seguridad alineados con el negocio tenía métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el rendimiento del negocio, en comparación con apenas el 25 % de sus colegas más reactivos y que trabajan aisladamente.
- Los líderes de seguridad alineados con el negocio aventajan a sus colegas más reactivos y que trabajan aisladamente, superándolos en la automatización de procesos clave de evaluación de vulnerabilidades con márgenes de +49 a +66 puntos porcentuales.
Las amenazas están elevándose, y la dinámica de la fuerza de trabajo cambia rápidamente: es evidente que la ciberseguridad debe evolucionar como una estrategia de negocios. Los líderes de seguridad que comprenden la postura de riesgo actual de su organización, y son capaces de predecir las mayores amenazas para el negocio, tienen más herramientas para comunicar el riesgo para el negocio. Estos líderes de seguridad alineados con el negocio tienen 8 veces más probabilidades que aquellos colegas que trabajan aisladamente de tener más confianza en su capacidad para responder a la pregunta: "¿Qué tan seguros, o en riesgo, estamos?".
Más información
- Vea más puntos destacados del estudio en español aquí.
- Descargue el estudio en español: El ascenso del ejecutivo de seguridad alineado con el negocio: un análisis sobre las organizaciones mexicanas.
- Evalúe a su propia organización (la herramienta está disponible exclusivamente en inglés): ¿Qué tan alineado está con el negocio?
1"Impacto en el negocio" tiene que ver con un ataque cibernético o riesgo que provoque pérdida de datos de clientes, de empleados o confidenciales; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto; y/o robo de propiedad intelectual.
Artículos relacionados
- Threat Management
- Vulnerability Management
- Vulnerability Scanning