La pandemia del covid-19 impulsó la transformación digital en muchas empresas, las cuales procuraban mantenerse brindando sus servicios durante el confinamiento. Sin embargo, en este proceso, que fue apresurado y sin planificación, algunas compañías se saltaron el paso de la seguridad de la información, provocando vulnerabilidad en algunos sistemas.
“En los últimos 18 meses, la necesidad de una rápida transformación significó que muchas empresas pasaran por alto la seguridad. A medida que los negocios mantienen nuevas prácticas laborales en la era poscovid, el riesgo de avanzar sin abordar estas brechas es cada vez más relevante. Algunos eventos recientes sobre cibersecuestro de datos enfatizan lo crítico que es implementar acciones inmediatas”, afirma Carlos López Cervantes, líder de Ciberseguridad en EY Latinoamérica Norte.
Este panorama se evidencia en la Encuesta Global sobre Seguridad de la Información 2021, elaborada por EY, donde se establece que la ciberseguridad no está entre las prioridades de inversión de las empresas latinoamericanas.
De acuerdo con el estudio, un 39% de los directores de seguridad de la información (CISO, siglas en inglés) y altos ejecutivos de seguridad que entrevistaron afirmaron que esperan enfrentar una filtración importante que podría haberse evitado mediante la realización de inversiones adecuadas en materia de ciberseguridad. En este sentido, el 32% de las organizaciones encuestadas destina menos de US$50,000 a temas de ciberseguridad.
El gerente de Ciberseguridad para EY Centroamérica, Enrique Mendoza, explica que un presupuesto limitado, las relaciones de los CISO con el resto de la organización y la fragmentación en la regulación son los principales retos a los que se enfrentan los equipos de tecnología de las empresas.
Debido al teletrabajo, si no se cuenta con los sistemas de protección, la información está cada vez más vulnerable. Por lo tanto, los negocios deben procurar que sus colaboradores tengan las herramientas necesarias para proteger sus dispositivos, ya que pueden convertirse en el principal acceso para ciberataques.
“La responsabilidad de la seguridad de la información no es solamente del equipo de tecnología, es de todas las personas que hacen parte de la organización”, asegura Mendoza, al exhortar a los CISO a educar a los colaboradores sobre las formas en que pueden ser víctimas de un ciberataque.
Los ciberdelincuentes suelen buscar los eslabones débiles de las organizaciones para poder materializar un indecente. “Los CISO deben asesorar en las etapas más tempranas del proceso de toma de decisiones. Sin embargo, de acuerdo con nuestra investigación, las relaciones entre la función de ciberseguridad y otras áreas del negocio son débiles; donde el 31% de los encuestados ha visto a equipos empresariales hacer a un lado los procesos de ciberseguridad para facilitar el trabajo remoto y flexible, lo que representa un riesgo significativo”, argumenta Gustavo Díaz, socio líder de Ciberseguridad para el Sector Financiero en EY Latinoamérica Norte.
Protección
EY recomienda implementar el sistema de seguridad por diseño, donde la protección de la información esté al principio de la planificación y al momento de diseñar un nuevo producto. Gracias a esta necesidad, la función de ciberseguridad se convertirá en un aliado estratégico, que propondrá ideas de valor para que ese servicio sea de confianza para el cliente.
Mendoza recomienda establecer un gobierno de ciberseguridad que diseñe un programa que esté alineado con la estrategia del negocio, de tecnología, innovación y planificación, “donde defina una serie de acciones a corto, mediano y largo plazo que fortalezcan la seguridad”.
La encuesta EY precisa que los CISO se preocupan por las vulnerabilidades introducidas por la transformación en la era de la pandemia.
En este contexto, siete de cada 10 compañías vieron un aumento en la cantidad de ataques disruptivos en los últimos 12 meses.
Durante el último año, los ciberdelincuentes han mejorado su técnica, convirtiéndola en más sofisticada. “El 45% de los encuestados desconoce si su cadena de suministro está preparada para defenderse y recuperarse de un ataque y solo el 30% de los CISO mantiene reuniones mensuales o semanales con la Junta Directiva en temas de ciberseguridad, el resto solo lo revisa de forma cuatrimestral, anual o según se requiera”, establece el documento.
Seguridad
Enrique Mendoza exhorta a establecer una comunicación fluida con todos los miembros de una empresa, desde el más bajo hasta el más alto. “Hay que generar acciones que fortalezcan esa comunicación transversal y la posición de ciberseguridad. Hacer talleres dirigidos a las juntas directivas, manejar tableros de control, establecer hábitos de ciberseguridad para la organización y definir equipos interdisciplinarios”.
