MADRID, 3 Mar. (Portaltic/EP) -
El 90 por ciento de los responsables de la toma de decisiones empresariales y de tecnologías de la información (TI) afirman que su empresa estaría dispuesta a comprometer la ciberseguridad en favor de la transformación digital, la productividad u otros objetivos.
El estudio global 'Business Friction Is Exposing Organisations to Cyber Threats' determina que aunque los ataques de los ciberdelincuentes genera intranquilidad en estos equipos, existe un bajo compromiso por parte de los responsables y de los directivos en torno a esta cuestión.
Se trata de un informe que la empresa de 'software' de seguridad Trend Micro Incorporated ha encargado a Sapio Research y para el que se han entrevistado a 5.321 responsables de la toma de decisiones empresariales y de TI de empresas de más de 250 empleados en 26 países.
A pesar de esta falta de compromiso con el mantenimiento de la protección de sus equipos y sus datos, el análisis detalla que el gasto en ciberseguridad es el área de inversión que ocupa la primera posición en las organizaciones, seguido de la transoformación digital y la transformación de la plantilla.
Al comienzo, Trend Micro destaca que bloqueó casi 63.000 millones de amenazas en 2020 y otras 41.000 millones en el primer semestre de 2021; datos que demuestran que las empresas han invertido en proyectos digitales para proteger sus datos.
Estos negocios buscan crear nuevos procesos empresariales e impulsar nuevos modelos de trabajo y experiencias con los clientes. Esto ha disparado el número de ataques de los ciberdelincuentes, que aprovechan esta implementación de infraestructuras no protegidas y atacar sus sistemas.
En este sentido, Trend Micro destaca que alrededor del 80 por ciento de las organizaciones disponen de una nube híbrida y el 92 por ciento cuenta con una estrategia de nubes múltiples, formatos que exigen soluciones de seguridad concretas para evitar ciberataques.
Entre ellos, el más habitual es el secuetro de datos, más conocido como 'ransomware', un ataque que consiste en el bloqueo de las funciones más básicas del equipo o el cifrado de archivos individuales para exigir una compensación económica a la víctima.
Según datos de esta compañía, este tipo de ataques aumentaron un 150 por ciento interanual en 2020 y el importe medio de las extorsiones se duplicó, así como las filtraciones de datos. Tanto es así que algunas organizaciones han admitido haber perdido decenas de millones debido a la infección de sus equipos.
A pesar de esta problemática, los equipos de dirección de las empresas muestran tener otras prioridades y el 90 por ciento de los responsables de la toma de decisiones de TI afirma que su empresa estaría dispuesta a compromenter la seguridad en favor de la transformación digital y la productividad.
Por otra parte, el estudio revela que solo el 50 por ciento de los líderes de TI creen que la C-Suite -miembros del nivel ejecutivo de la compañía- entiende completamente los riesgos cibernéticos a los que se expone la empresa.
Gran parte de ellos afirman que esto se debe a que los miembros de la junta directiva no se esfuerzan lo suficiente en entenderlo (el 26% de ellos) y otros no tienen intención de hacerlo o lo ven como un problema tecnológico impenetrable (el 20% de ellos).
Es más, menos de la mitad de las empresas encuestadas, el 46 por ciento, entienden ampliamente el significado de conceptos como "riesgo cibernético" y "gestión de riesgos cibernéticos".
Por otra parte, Trend Micro ha señalado en este informe que el 82 por ciento de los responsables de la toma de decisiones de TI se han sentido presionados para minimizar la gravedad de los riesgos cibernéticos a su junta directiva y casi un tercio de ellos asegura que se trata de una presión constante.
De este modo, el 77 por ciento de los encuestados afirmaron querer responsabilizar a más personas de la organización de la gestión y mitigación de estos riesgos, lo que ayudaría a impulsar una cultura de "seguridad por diseño" en toda la empresa.
Por otra parte, el 38 por ciento está a favor de responsabilizar a los CEO, mientras que el 28 por ciento aseguran que convendría implicar en estos procesos a los directores financieros (CFO) y el 22 por ciento a los directores de marketing (CMO).
MINIMIZAR LOS RIESGOS FOMENTANDO LA COMUNICACIÓN
De acuerdo con estas conclusiones, Trend Micro ha constatado que los consejos de administración y las empresas no están de acuerdo con los responsables de TI en materia de seguridad. Es más, el 49 por ciento de los encuestados afirma que los riesgos cibernéticos siguen siendo tratados como un problema de TI en lugar de un riesgo de la empresa.
No obstante, el estudio determina que la alta dirección atiende a estos problemas cuando se dan distintas situaciones. El 62 por ciento lo hace si la organización sufre una brecha, mientras que el 61 por ciento de ellas se preocupan por prestan atención a estos problemas si los clientes empiezan a exigir una mayor seguridad.
La única solución a este problema es que los responsables de seguridad comprendan mejor en qué consisten estos riesgos y cómo evitarlos. Por ello, desde TrendMicro consideran que es necesario formalizar la ciberseguridad con documentación, indicadores clave de rendimiento y métricas estavlecidas.
Por otro, se debe considerar la posibilidad de crear una nueva función de responsables de seguridad de la información en la empresa (BISO, por sus siglas en inglés), que pueda ayudar a integrar la seguridad en los procesos empresariales y alinearla con las exigencias de producitividad en la empresa.
Asimismo, se deben reestructurar las líneas jerárquicas para que el oficial de seguridad de la información (CISO, por sus siglas en inglés) dependa directamente del director general. Así, podrá exponer los asuntos de ciberseguridad a los máximos responsables y proporcionar mayor información a los líderes del equipo de seguridad.
Por último, se debe implantar una plataforma XDR que correlacione y analice los datos sobre amenazas de todo el entorno informático, como servidores, cargas de trabajo en la nube, redes y correo electrónico- para preporcionar una visibilidad más amplia de los niveles de amenaza y riesgo.