Análisis sobre México:es momento de que los líderes de ciberseguridad y del negocio se alineen
Con el aumento de los ataques cibernéticos, un nuevo estudio muestra cómo la desconexión entre los ejecutivos del área de ciberseguridad y del área de negocios pone en riesgo a las organizaciones de México.
La gran mayoría de las organizaciones de México (95 %) sufrió, al menos, un ataque cibernético con impacto en el negocio1 durante el último año. Casi tres cuartos (74 %) prevé que los ataques cibernéticos aumenten en los próximos 24 meses.
Los datos se extrajeron de El ascenso del ejecutivo de seguridad alineado con el negocio: un análisis sobre las organizaciones mexicanas. El estudio, encomendado por Tenable a Forrester Consulting, se basa en los datos de una encuesta realizada a 104 ejecutivos de negocios y de seguridad en México.
La investigación señala una desconexión alarmante entre los líderes del área de seguridad y del área de negocios; esto supone un desafío para las organizaciones mexicanas a la hora de gestionar su riesgo cibernético de manera eficaz. Por ejemplo, aunque casi todos los líderes de seguridad encuestados (97 %) afirmaron que los altos ejecutivos o la junta de su organización les habían pedido que hicieran una presentación sobre el riesgo cibernético, solo cinco de cada diez dijeron que podían responder con un alto nivel de confianza a la pregunta "¿Qué tan seguros, o en riesgo, estamos?". Y menos de la mitad de los líderes de seguridad en México planteó el impacto de las amenazas cibernéticas dentro del contexto de un riesgo específico para el negocio.
Sin embargo, esto es aún más preocupante: mientras las organizaciones se apresuraban a adoptar nuevas prácticas de trabajo remoto en respuesta a la pandemia de la COVID-19, los delincuentes cibernéticos aprovecharon la oportunidad. Tres de cada diez líderes de negocios y de seguridad mexicanos informaron que sufrieron ataques de malware o de phishing relacionados con la COVID-19; un desafortunado 4 % fue víctima de ambos tipos de ataque. De hecho, el 75 % de los líderes de seguridad están muy o extremadamente preocupados por que los cambios en la fuerza de trabajo relacionados con la COVID-19 aumenten el nivel de riesgo de sus organizaciones.
No obstante, incluso al enfrentarse a una pandemia mundial, el estudio muestra que los líderes de negocios y de ciberseguridad no se conectaron entre sí: el 79% de los encuestados dijo que sus estrategias de respuesta a la COVID-19 estaban, en el mejor de los casos, solo "un poco" alineadas. Esta falta de alineación tiene efectos importantes en las organizaciones de México, ya que los encuestados experimentaron uno o más de los siguientes como resultado de un ataque cibernético durante los dos últimos años:
- Pérdida de la productividad (47 %)
- Robo de identidad (29 %)
- Pérdida de datos de los empleados (28 %)
- Pérdidas financieras o robo (27 %)
- Pérdida de datos de los clientes (25 %)
Los desafíos tecnológicos contribuyen a la desconexión
Una gran cantidad de problemas organizativos, operativos y tecnológicos contribuyen a la falta de alineación entre el área de negocios y el área de ciberseguridad de las organizaciones mexicanas. Por ejemplo, más de la mitad de los líderes de seguridad (53 %) dijo que sus equipos no tenían una buena visibilidad hacia el estado de la seguridad de los activos más críticos de su organización, y solo el 51 % dijo que había obtenido una comprensión y una evaluación integrales de toda la superficie de ataque de la organización.
Sin embargo, hay medidas que los líderes de seguridad pueden adoptar hoy mismo para ayudar a mejorar la alineación con el negocio. Entre ellas, establecer un ritmo de comunicación periódico con los colegas del área de negocios, y trabajar en conjunto a fin de identificar los activos más críticos para los negocios de la organización. Una vez que los líderes de seguridad tengan una comprensión clara de qué activos son los más importantes para el negocio, tendrán más herramientas para evaluar el riesgo y comunicarlo mediante métricas que los ejecutivos de negocios puedan comprender.
Cuando los equipos de negocios y de seguridad están alineados, los resultados son notables. Por ejemplo, el estudio revela lo siguiente:
- Los líderes de seguridad alineados con el negocio tienen ocho veces más probabilidades que aquellos colegas que trabajan aisladamente de tener más confianza en su capacidad para informar sobre el nivel de seguridad o de riesgo de sus organizaciones.
- El 85 % de los líderes de seguridad alineados con el negocio tenía métricas para dar seguimiento al ROI de la ciberseguridad y al impacto en el rendimiento del negocio, en comparación con apenas el 25 % de sus colegas más reactivos y que trabajan aisladamente.
- Los líderes de seguridad alineados con el negocio aventajan a sus colegas más reactivos y que trabajan aisladamente, superándolos en la automatización de procesos clave de evaluación de vulnerabilidades con márgenes de +49 a +66 puntos porcentuales.
Las amenazas están elevándose, y la dinámica de la fuerza de trabajo cambia rápidamente: es evidente que la ciberseguridad debe evolucionar como una estrategia de negocios. Los líderes de seguridad que comprenden la postura de riesgo actual de su organización, y son capaces de predecir las mayores amenazas para el negocio, tienen más herramientas para comunicar el riesgo para el negocio. Estos líderes de seguridad alineados con el negocio tienen 8 veces más probabilidades que aquellos colegas que trabajan aisladamente de tener más confianza en su capacidad para responder a la pregunta: "¿Qué tan seguros, o en riesgo, estamos?".
Más información
- Vea más puntos destacados del estudio en español aquí.
- Descargue el estudio en español: El ascenso del ejecutivo de seguridad alineado con el negocio: un análisis sobre las organizaciones mexicanas.
- Evalúe a su propia organización (la herramienta está disponible exclusivamente en inglés): ¿Qué tan alineado está con el negocio?
1"Impacto en el negocio" tiene que ver con un ataque cibernético o riesgo que provoque pérdida de datos de clientes, de empleados o confidenciales; interrupción de las operaciones cotidianas; pagos de ransomware; pérdidas financieras o hurto; y/o robo de propiedad intelectual.
Artículos relacionados
Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid
April 19, 2024In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
Microsoft’s May 2024 Patch Tuesday Addresses 59 CVEs (CVE-2024-30051, CVE-2024-30040)
May 14, 2024Microsoft addresses 59 CVEs in its May 2024 Patch Tuesday release with one critical vulnerability and three zero-day vulnerabilities, two of which were exploited in the wild.
Tenable Cloud Security Study Reveals a Whopping 95% of Surveyed Organizations Suffered a Cloud-Related Breach Over an 18-Month Period
May 14, 2024The finding from the Tenable 2024 Cloud Security Outlook study is a clear sign of the need for proactive and robust cloud security. Read on to learn more about the study’s findings, including the main challenges cloud security teams face, their strategies for better protecting their cloud infrastructure and the tools they use to measure success.
Shifting the Paradigm: Why the Cyber Insurance Industry Should Focus on Preventive Security
May 13, 2024As claims and losses climb, it’s clear that preventive security should be prioritized more when designing a cyber insurance policy. Here’s why preventive security investments are cost effective and can lead to lower premiums.
- Threat Management
- Vulnerability Management
- Vulnerability Scanning