Seguridad en la web
Ciber-resiliencia: un paso más allá de la ciberseguridad
El 19,5% de los tomadores de decisiones del mundo considera que el riesgo de ciberseguridad será crítico a nivel global en los próximos dos años. Entonces, ¿cómo se está abordando desde ya?
De acuerdo con el Reporte de Riesgos Globales 2022 del Foro Económico Mundial, entre los horizontes más cercanos y complejos para nuestra sociedad, además del impacto del clima extremo (31,1% de probabilidad de ocurrencia en los próximos 2 años) y la crisis de subsistencia (30,4%), se encuentra el de fallos asociados a la seguridad digital (19,5%).
Bajo este panorama, la cuestión se centra ya no solo en cómo atender y mitigar los posibles ataques, sino en cómo anticipar y diseñar estrategias de negocio que integren la seguridad digital como uno de sus pilares.
De acuerdo con el Centro para la Ciberseguridad del mismo Foro, la ciber-resiliencia es “la capacidad de una organización para trascender (anticipar, resistir, recuperarse y adaptarse) ante cualquier presión, falla, peligro y amenaza a sus recursos cibernéticos, bien sea en su interior o en su ecosistema, de modo que pueda cumplir con su propósito desde la confianza, permitiendo que su cultura se manifieste y se mantenga una forma deseada de operar”.
Al cierre del 2021, se identificó un aumento promedio en los ataques del 31% en relación con el año inmediatamente anterior. Entre tanto, el 82% de las compañías a nivel mundial declara haber aumentado su presupuesto en seguridad digital, llevándolo a ser un 15% del total de inversiones en TI, según cifras de la consultora Accenture.
Pero Juan Mario Posada, Líder de Ciberseguridad de Accenture Colombia, señala que no solo se trata de destinar recursos, “es necesario un cambio profundo en la forma en que la ciberseguridad se planifica y ejecuta en las empresas. Los directores generales no deberían dejar este cambio únicamente en manos de los equipos de TI; por el contrario, deben liderarlo. La pandemia impulsó un gran salto en la adopción digital a todos los niveles. La migración de las comunicaciones y los datos al mundo virtual se aceleró exponencialmente. Es un nuevo mundo, no solo uno con más complejidad y amenazas, sino también con más oportunidades para aquellos que lo hagan bien”.
Una organización ciber-resiliente reúne las capacidades de operación que brinda la ciberseguridad, junto a la continuidad del negocio propio de la resiliencia empresarial.
El estudio Elevando la discusión sobre ciberseguridad, publicado por Accenture, sugiere cuatro niveles en el camino hacia la ciber-resiliencia:
Vulnerables: seguridad no alineada con la estrategia empresarial, operaciones de ciberseguridad inmaduras, seguridad mínima (solo el 30% logra mitigar y blindarse de ciberataques en menos de 15 días).
Ciber-arriesgados: priorizan el crecimiento comercial y la velocidad del negocio, aceptando un mayor riesgo cibernético (solo identifican 1 de cada 2 ataques recibidos a tiempo).
Bloqueadores de negocio: priorizan la seguridad informática sobre la alineación con la estrategia comercial, haciendo que se perciba como un obstáculo para el logro de las metas del negocio (detienen efectivamente 1 de cada 4 ataques).
Ciber-campeones: logran un equilibrio entre la protección digital y los objetivos de negocio, con una fuerte alineación entre la estrategia y la salvaguarda de los activos clave (reducen en un 72% el impacto de las violaciones de ciberseguridad).
Mientras se hacen tangibles los horizontes de riesgo, el gran reto está en ganar la atención de los directores para que comprendan su rol en el marco de las decisiones de seguridad informática y de estrategias TI con enfoque de resiliencia.
La posición de Chief Security Officer (CISO) ha crecido hasta tener un asiento en las mesas del 70% de las compañías en el Fortune 500. Pero, aunque la gran mayoría de ellos está de acuerdo en que es prioritario alinear el negocio y la protección, el 81% manifiesta que “anticiparse a los atacantes resulta ser una batalla constante cuyo costo es insostenible”, por lo que demandan más atención de los líderes para dar respuesta al riesgo latente de la ciberseguridad.
“Una estrategia de ciber-resiliencia eficaz debe diseñarse de forma conjunta entre la dirección general, la dirección de seguridad de la información, la junta directiva y los líderes empresariales. El esfuerzo depende de que los directores ejecutivos hagan las preguntas correctas, desafíen a sus organizaciones a identificar y tratar el riesgo cibernético de manera efectiva, estar más en sintonía con el desempeño de las inversiones en seguridad y liderar el cambio de cultura para adoptarla en todo el negocio”, concluye Posada.