En los últimos años hemos sido testigos de las consecuencias que están teniendo los ciberataques en el seno de todo tipo de compañías. Y parece que ninguna se libra de sus efectos. Y es que, a pesar de que las grandes firmas son cada vez más conscientes del riesgo que supone la creciente sofisticación de los ciberataques, el 89% de los directivos señala que las medidas de ciberseguridad implementadas por sus compañías no son capaces de responder totalmente a las necesidades del negocio. Así lo pone de relieve el estudio Global Information Security Survey (GISS) de EY para el que la firma ha sondeado a 1.200 ejecutivos de compañías de todo el mundo.
Según este informe, los directivos identifican tres vulnerabilidades principales que les impiden contar con el sistema adecuado de ciberprotección:
1.- El 59% de los encuestados señala a las restricciones de presupuesto.
2.- El 58% apunta a la falta de recursos especializados.
3.- Un 29% lo atribuye a la falta de concienciación y apoyo por parte de la cúpula directiva.
El 87% de los ejecutivos ve necesario que las partidas para protegerse de los ataques aumenten un 50% más
Para responder a este escenario de vulnerabilidad, las compañías están aumentando en los últimos doce meses la dotación presupuestaria destinada a protegerse de los ataques. Así lo indica el 59% de los ejecutivos encuestados. Sin embargo, estos incrementos se estiman "insuficientes", ya que el 87% ve necesario que las partidas aumenten un 50% más, mientras que el 12% ve adecuado un incremento de más del 25% en el presupuesto de ciberseguridad.
En la misma línea, el 56% de los directivos consultados dice haber cambiado su estrategia y planificación sobre ciberprotección para hacer frente a la sofisticación de los ataques o está en proceso de rediseñarla.
ATAQUES SOFISTICADOS
Elena Maestre, responsable de Consultoría de Riesgos de EY, apunta que frente a los ataques comunes que se vienen produciendo históricamente, se incrementan los sofisticados y organizados. "Son cada vez más preocupantes los ciberataques emergentes de las nuevas tecnologías y los procedentes de la convergencia de los dispositivos personales con los corporativos bajo la misma red”, explica.
Por su parte, para Julio San José, responsable de Ciberseguridad para Servicios Financieros de EY, “los incidentes de seguridad globales vividos en este último año han conseguido sensibilizar e interesar más a los órganos directivos de las organizaciones. Por ello, se ha incrementado un 4% el número de compañías que incluyen la ciberseguridad en sus programas de estrategia corporativa, como demuestra el estudio”.
El 57% de las organizaciones dice no tener un programa formal de ciberseguridad, o tiene uno informal
Sin embargo, según se desprende de este análisis, el 57% de las organizaciones dice no tener un programa formal de ciberseguridad, o tiene uno informal, y el 48% carece de un centro de operaciones de seguridad (SOC, por sus siglas en inglés) para monitorizar de forma continua los ciberataques.
Además, cuando se trata de identificar vulnerabilidades cibernéticas, el 75% afirma que sus sistemas no cuentan con la madurez suficiente y un 12% reconoce no tener implementado ningún programa de detección de amenazas. De la misma manera, el 76% descubrió la brecha de seguridad existente en la organización tras un sufrir un ataque.
SISTEMAS DE PREVENCIÓN
Si bien ninguna organización puede anticiparse totalmente a los riesgos que emergen, EY recuerda que las corporaciones más innovadoras cuentan con "sistemas ágiles de prevención" y respuesta que les permiten anticiparse en cierta manera a un potencial ataque y actuar rápidamente. Así, "las compañías que cuentan con buenos procesos de gobernanza corporativa en sus Consejos de Administración tienen en marcha sistemas y procesos capaces de hacer frente riesgos inesperados y peligros potenciales", señala.
Sólo el 24% de los directivos apunta que el profesional encargado de la seguridad cibernética tiene un asiento en el Consejo de la compañía
Sin embargo, el estudio revela que solo el 17% de los Consejos tiene suficiente conocimiento de la seguridad de la información para evaluar la efectividad de las medidas de ciberprotección puestas en marcha y únicamente el 24% de los directivos apunta que el profesional encargado de los sistemas de seguridad cibernética tiene un asiento en el Consejo de la compañía.
De esta manera, el 63% de las empresas encuestadas todavía tienen integrada su función de ciberseguridad en el departamento de IT y solo el 50% reporta regularmente esta información al Consejo de Administración.
