Un informe elaborado por el think tank de innovación ESI Thought Lab, junto a WSJ Pro Cybersecuruty, habla sobre la gestión de los riesgos cibernéticos, en un mundo de rápidos cambios digitales.
Según Cybersecurity Ventures, para 2021 el delito cibernético le costará al mundo $ 6 billones al año. La cifra representa más que el PIB combinado del Reino Unido y Francia. A medida que las empresas van adoptando las últimas soluciones digitales y responden a las crecientes regulaciones, la ciberseguridad se ha convertido en prioritaria entre industrias y mercados. A su vez, a medida que las empresas incorporan nuevas tecnologías, también lo hacen los piratas informáticos.
Por estos motivos, ESI Thought Lab se unió a WSJ Pro Cybersecurity y a un grupo de organizaciones líderes para lanzar «El imperativo de la ciberseguridad», un riguroso programa de investigación global. Los patrocinadores de esta iniciativa incluyen a Baker McKenzie,CyberCube, HP, KnowB4, Opus, Protiviti, SIA y Willis Towers Watson.
Para identificar las mejores prácticas de seguridad cibernética y las métricas de rendimiento, realizaron cuatro niveles de análisis:
1. Una encuesta de diagnóstico de 1,300 empresas en todas las industrias y regiones.
2. Entrevistas en profundidad con 18 expertos en ciberseguridad.
3. Información de un consejo asesor de ejecutivos de firmas patrocinadoras y DTCC, Evolver, Fidelity, Hubbard Decision Research, NIST y Security Mantra.
4. Un modelo económico que evalúe el impacto de las prácticas de ciberseguridad en el rendimiento.
De esta manera, calificaron a las empresas encuestadas por su progreso en cinco pilares: identificar, proteger, detectar, responder y recuperar. Luego, segmentaron las empresas en tres etapas de madurez de la ciberseguridad: Principiantes,Intermedios y Líderes. Posteriormente, sumaron los puntajes y evaluaron el impacto en sus prácticas de seguridad cibernética y su rendimiento.
12 hallazgos importantes para la ciberseguridad
1. A medida que las empresas adoptan nuevas tecnologías y se desplazan a plataformas abiertas y a ecosistemas de socios y proveedores, sus riesgos cibernéticos se multiplicarán. Mientras que las empresas ahora reportan el mayor impacto de malware (81%), phishing (64%) y ransomware (63%), en dos años, esperan un crecimiento masivo de ataques a través de socios, clientes y proveedores (247% de crecimiento), suministro cadenas (+ 146%), denegación de servicio (+ 144%), aplicaciones (+ 85%) y sistemas integrados (+ 84%).
2. Mientras que las empresas ven altos riesgos por parte de piratas informáticos poco sofisticados (59%), los delincuentes cibernéticos (57%), y Ingenieros sociales (44%), la mayor amenaza reside en: personal general sin capacitación (87%). Por otro lado, el 57% de las empresas considera que compartir datos con socios y proveedores es su principal vulnerabilidad de IT. No obstante, sólo el 17% de las empresas ha logrado avances significativos en la capacitación de personal y socios en la concientización sobre la seguridad cibernética, una clara debilidad para muchas empresas.
3.Cuando se desarrolla un plan de seguridad cibernética, las empresas tienen que hacer frente a la “paradoja digital”. Cuando la transformación digital supera el progreso de la ciberseguridad, las empresas tienen una mayor posibilidad de sufrir un importante ataque cibernético (más de $ 1 millón en pérdidas). Los líderes digitales en las primeras etapas de la ciberseguridad tiene un 27% de probabilidad de tener un ataque importante, en comparación con un 17% de probabilidad de líderes digitales con sistemas avanzados de ciberseguridad.
4.Las empresas deben garantizar que sus inversiones en ciberseguridad no se queden atrás. La encuesta muestra que las empresas aumentaron sus inversiones en seguridad cibernética en un 7% en el último año, y planean una aumento del 14% el año que viene. El mayor aumento proviene de las compañías de plataformas, que aumentaron la inversión en seguridad cibernética en un 59% durante el último año y planea un aumento adicional del 64% el próximo año.
5. Las inversiones en ciberseguridad variarán según la industria, el tamaño y la ubicación el próximo año. Las empresas planean aumentar el gasto al máximo (21%) seguidas de los bienes / servicios de consumo (+ 17%), tecnología (+ 16%), seguros (+ 14%), ciencias de la vida / salud (+ 12%), servicios financieros (+ 11%), y fabricación (+ 3%). Las alzas más grandes vendrán de firmas más pequeñas con $ 250 millones a $ 1b en ingresos (+ 40%) y con $ 1b- $ 5b en ingresos (+ 37%). Empresas con sede en Corea del Sur, frente a los riesgos patrocinados por el gobierno aumentarán su inversión en un 34,6%, seguido de México (+ 34,5%), Australia (+ 29%) China (+ 25%), Singapur (+ 20%), Argentina (+ 19%) y EE. UU. (+ 19%).
6. Las empresas ahora asignan la mayor parte de sus inversiones en ciberseguridad a la tecnología. ( 37.9%), seguido por personas (33.8%) y proceso (28.4%). El próximo año, las empresas destinarán más a tecnología (39.3%) y procesos (30.7%), mientras que recorta su inversión en personas (30%). Las compañías ahora están utilizando una variedad de tecnologías para ayudar a mitigar los riesgos, incluyendo factores de múltiple autenticación (90%), Blockchain (68%), IoT (62%) y AI (44%). Durante los próximos dos años, habrá una explosión en el uso de análisis de comportamiento (+ 1735%), tecnologías de redes inteligentes.(+ 831%), tecnología de engaño (+ 684%) y seguridad y resistencia de hardware (+ 114%).
7. Las compañías con los mayores puntajes de madurez de ciberseguridad se encuentran en los EE. UU. (107.2), Corea del Sur (104.7), Japón (102.6), Francia (101.9), Australia (101.3), España (101.1) y el Reino Unido (100). En estos países las empresas han realizado los mayores avances en el desarrollo de una ciberseguridad efectiva. La mayoría de las compañías con calificaciones más bajas se basan en mercados emergentes, incluidos México (96.3), India (93.7), Argentina (93.6) y Brasil (88.6), aunque firmas en Alemania (97.3)y Suiza (96.3) también tuvieron puntuaciones relativamente bajas.
8. Las empresas ahora están invirtiendo más en la prevención del riesgo cibernético que en la resiliencia. Ellos están invirtiendo más en las categorías de identificación (19.5%), protección (25.5%) y detección (21.3%) de seguridad cibernética que en las categorías de respuesta (17.7%) y recuperación (16.2%). Las empresas invertirán aún más en protección el próximo año (26.5%), también destinarán más a responder (19.2%) y recuperarse (18.1%) y menos para identificar (17.9%) y detectar (18.3%). Mientras muchos CISO creen que es mejor prevenir que curar, reconocen que la capacidad de recuperación es crucial ya que ningún sistema de seguridad puede ser 100% infalible.
9. A medida que los sistemas de ciberseguridad maduran, la probabilidad de ataques cibernéticos costosos disminuye. Los principiantes tienen un 21% de probabilidad de que los ataques cibernéticos generen más de $ 1 millón en pérdidas frente al 16% para intermedios y lideres. Los costos de los ataques cibernéticos también disminuyen a medida que madura la ciberseguridad: el costo para los principiantes es de 0.039% de los ingresos ($ 3.9 millones para una compañía de $ 10b) comparado con el 012% de los ingresos para líderes ($ 1.2m para una compañía de $ 10b).
10. Las empresas se están reorganizando para mejorar la seguridad cibernética: es más probable que los líderes de seguridad cibernética (37%) asignen responsabilidades a un CISO que a un principiantes (20%). Para principiantes y empresas por debajo de $ 1 mil millones en ingresos, es más probable que la junta directiva tenga la responsabilidad principales.Sin embargo, los cambios regulatorios en todo el mundo están haciendo un director de privacidad o protección de datos, una función más común y más colaborativa, y en ocasiones integrada, con la función del CISO, particularmente en compañías con más de $ 20 mil millones en ingresos.
11. A medida que las empresas maduran en la ciberseguridad, la relación entre la ciberseguridad y el personal de tecnología disminuye. La razón es que a medida que las empresas instalan sistemas automatizados de ciberseguridad con tecnología avanzada, requieren menos especialistas en ciberseguridad.
12. El cálculo del ROI de la ciberseguridad es difícil de alcanzar para la mayoría de las empresas. Es difícil medir con precisión los costos indirectos, como la pérdida de productividad, daños a la reputación y costos de oportunidad. Otra es las dificultades es medir las probabilidades de riesgo y los costos evitados de una ciberseguridad más estricta. Además de la complejidad, las empresas se centran en medir los riesgos y se ve el alza de la mejora de la productividad (citado por el 35% de las empresas), la rentabilidad (22%),reputación corporativa (18%), posicionamiento competitivo (16.2%) y compromiso con el cliente (11%).
Estamos en una carrera de armamentos de ciberseguridad, y los hackers estan ganando A traves de Los años, Hemos probado miles de empresas. Siempre hay una forma de entrar «, expresa Kevin Mitnick, Director de piratería y ex hacker, KnowBe4
A partir de la investigación realizada, surgieron reuniones de asesoramiento y entrevistas con los CISO y expertos en ciberseguridad en todas las industrias, regiones y disciplinas, quienes ofrecieron sus conocimientos sobre la ciberseguridad y sus mejores practicas, para que las empresas lleven sus programas de ciberseguridad al siguiente nivel de excelencia.
1. Realizar una auditoría. El primer paso es realizar una auditoría de las prácticas actuales de ciberseguridad para identificar áreas de debilidad y necesidades de mejores prácticas.
2. Construir una hoja de ruta de ciberseguridad. Vincular los programa de riesgo de ciberseguridad al proceso de gestión de riesgos de la empresa, de modo que no solo las personas de TI y de seguridad manejan la evaluación de riesgos. Prueba regularmente su capacidades de detección y monitoreo para asegurar que sean efectivas. Finalmente, desarrollar clave.métricas para que pueda asegurarse de que está logrando sus objetivos y crear un circuito de comentarios para refinar el programa a medida que avanza.
3. Observa la ciberseguridad a través de múltiples lentes. El primero es el gobierno: asegúrese de tener todo abotonado, desde el tono en la parte superiora través del diseño del producto. El siguiente es transaccional: determinar la ciberseguridad y la privacidad, además de cuestiones relacionadas con proveedores y clientes. Por último hay crisis y disputas: preparar una respuesta sólida.política que será bien practicada entre el equipo central y auxiliar, incluida la notificación de obligaciones, cumplimiento de la ley, relaciones públicas y preparación para acciones colectivas.
4. Construir una cultura de ciberseguridad. La ciberseguridad funciona mejor cuando se organiza como un deporte de equipo. Las empresas necesitan desarrollar una cultura de seguridad de la información que sea parte de todo lo que hacen, desde el desarrollo del producto hasta el compromiso del cliente. La cultura correcta es la mejor línea de defensa y la construcción de una cultura de este tipo comienza en la parte superior.
5. Obtener los fundamentos correctos. Más allá de centrarse en las últimas tecnologías de ciberseguridad, primero asegúrese de obtener los fundamentos de derecho. Por ejemplo, las empresas necesitan un sistema de control robusto y auditable que supervisa continuamente quién tiene acceso a los sistemas críticos. Las contraseñas simples no son suficientes, sino que la autenticación de dos factores y otras mejoras de seguridad son esenciales.
6. Cambia cómo te comunicas. Uno de los desafíos para los profesionales de la ciberseguridad es que la ciberseguridad a veces es demasiado técnica para que los equipos de gestión entiendan completamente. A menudo, los CISOs hablan en jerga técnica, en cambio si se enmarca esa discusión en términos comerciales funciona mejor: muestra el ROI en términos de costos reducidos, menores riesgos y mejoras en la participación de mercado, el valor para los accionistas y el desempeño financiero.
7. Adoptar una mentalidad proactiva. El solo hecho de implementar un conjunto de herramientas para detectar violaciones pone a los CISO en modo reactivo. Se necesita adaptar una postura proactiva en la gestión de un programa de seguridad .
8. No gestionar la ciberseguridad en un silo. Creación de estructuras organizativas que fomenten la interacción entre la ciberseguridad y las empresas. Tener en cuenta que la seguridad es una disciplina holística; se necesita gestionar ambos riesgos físicos y cibernéticos. Se puede tener la mejor seguridad física que nunca: guardias, puertas, armas,vigilancia, pero si alguien puede acceder a su red desde la comodidad de su sala de estar, no lograrás nada.
9. Cada compra de dispositivo es una decisión de seguridad. Asegurar el perímetro de la red no es suficiente. La oficina del futuro es diferente: las personas trabajan desde cualquier lugar, cuando están en Starbucks, de vacaciones, en tránsito o en casa. El límite periférico de la red no es lo suficientemente fuerte como para proteger las entradas y salidas de información. Los CISO deben dirigir su atención a los usuarios y sus dispositivos. Estos dispositivos pueden permanecer en su empresa durante años, y sus defensas pueden ser obsoletas o rotas.
10. No hagas de la ciberseguridad una idea de último momento. Al crear productos digitales, las empresas necesitan incorporar seguridad en esos productos desde el comienzo, en lugar de después de que se construyen. En este momento, la mayoría de las empresas organizan Ciberseguridad en silos, que tienen solo una fracción del personal del grupo de ingeniería. Cuando se desarrolla un nuevo producto, la ciberseguridad puede no tener suficiente tiempo para probar adecuadamente y arreglar todos los problemas.