Los responsables de la seguridad informática en empresas de todo el mundo se sienten impotentes cuando se trata de luchar contra la ciberdelincuencia. Carecen de influencia en la sala de juntas y les resulta difícil justificar los presupuestos que necesitan; todo esto hace, inevitablemente, que sus empresas sean más vulnerables. Este fenómeno es una de las conclusiones de un nuevo informe presentado por Kaspersky Lab, en el que se encontró que 78% de los CISOs (directores de seguridad informática) en América Latina ahora creen que los ataques por deficiencias en la seguridad cibernética son inevitables, y los grupos que tienen una motivación financiera son su principal preocupación.
Para validar alguna de esta información conversamos en exclusiva con Jorge Peña, Gerente de Territorio para Centroamérica y Caribe para Kaspersky Lab, quién nos hizo ver algunos datos interesantes que aplican a su región.
En síntesis nos hizo ver que los CISOs más vulnerables son los de esta región. “Principalmente porque los hackers prueban vulnerar sistemas de organizaciones de países pequeños en estructura, para luego hacer sus ataques maestros en organizaciones más rentables. Muchos CISOs centroamericanos se han dado cuenta de esto y han sabido mostrar números a las Juntas Directivas en donde la protección (prevención) sale más barata que la retribución” señaló Peña.
De la nube a los malintencionados: la superficie de ataque se está ampliando en las empresas actuales
El aumento de amenazas cibernéticas, combinado con la transformación digital que muchas empresas están experimentando actualmente, hace cada vez más importante la función del CISO en las empresas de la actualidad. El informe de Kaspersky Lab muestra que ahora hay más presión sobre los CISOs: a nivel global, el 57% de ellos considera que las complejas infraestructuras relacionadas con la nube y la movilidad son un gran desafío, y al 50% le preocupa el aumento continuo de los ataques cibernéticos.
Según Peña “el salto tecnológico que están dando las empresas de mi región de ir directo a la nube de un solo, sin haber hecho migraciones previas, las hace más vulnerables pero al mismo tiempo están adquiriendo consciencia de la importancia de inversión en ciberseguridad”.
Los CISOs creen que las pandillas criminales con motivación financiera (40%) y los ataques internos con fines maliciosos (29%) son los mayores riesgos para sus empresas, y que estas son amenazas extremadamente difíciles de evitar, ya sea porque se enfrentan a ciberdelincuentes “profesionales” o porque son ayudados por empleados que debieran estar en el bando correcto.
Las dificultades de la justificación presupuestaria están haciendo a los CISOs competir contra otros departamentos
Según el informe, los presupuestos asignados a la ciberseguridad están creciendo. Un poco más de la mitad (55%) de los CISOs en América Latina espera que sus presupuestos aumenten en el futuro, mientras el 38% de los encuestados globalmente espera que estos sigan siendo los mismos. Peña cree que en su región es aún mayor el incremento de este presupuesto por que los criminales están usando de conejillos de indias a compañías de países pequeños sin legislación al respecto.
No obstante, los CISOs se enfrentan a grandes desafíos presupuestarios, ya que es casi imposible para ellos ofrecer un claro rendimiento del capital invertido o una protección al 100% contra los ataques cibernéticos.
Por ejemplo, más de un tercio (36%) de los CISOs en el mundo dice que no puede tener certeza de los presupuestos de seguridad de TI que se requieren, ya no pueden garantizar que no haya ninguna vulnerabilidad. Y, cuando una empresa contempla los presupuestos de seguridad como parte del gasto total de TI, los CISOs se van a ver compitiendo con otros departamentos. La segunda razón más probable para no obtener presupuesto es que la seguridad a veces es parte del gasto general de TI. Además, un tercio de los CISOs (33%) encuestados globalmente dijeron que el que les podrían asignar se prioriza para proyectos digitales, para la nube u otros proyectos de TI que pueden demostrar un rendimiento más claro del capital invertido.
A medida que avanza la transformación digital, los CISOs necesitan ser escuchados por los directivos de la empresa
Los ataques cibernéticos pueden tener consecuencias drásticas para las empresas: más de una cuarta parte de los encuestados en el estudio global de Kaspersky Lab identificó los daños a la reputación (28%) y los financieros (25%) como las consecuencias más críticas de un ataque cibernético.
Sin embargo, a pesar del impacto negativo de un ciberataque, solo 26% de los líderes de seguridad de TI encuestados son miembros de la junta directiva en sus respectivas empresas. De los que no son miembros de la junta, uno de cada cuatro (25%) cree que debería serlo.
La mayoría de los líderes de seguridad de TI (58%) cree que participa adecuadamente en la toma de decisiones de la empresa en este momento. Sin embargo, dado a que la transformación digital se vuelva esencial para la dirección estratégica de las grandes empresas, la ciberseguridad también debería hacerlo. La función del CISO debe desarrollarse para reflejar estos cambios, dándoles la capacidad de influir en las decisiones.
Los CISOs centroamericanos y del caribe están adquiriendo relevancia en las Juntas Directivas. “El ser vulnerado se está convirtiendo en un costo financiero cada vez mayor para las organizaciones y quiénes toman decisiones quieren estar más informados de cómo evitarlo, por lo que el papel del CISO se está tornando crítico” finalizó Peña.
“El gran desafío en América Latina es cambiar la percepción de los líderes de las empresas. Históricamente, sólo se toma en serio la inversión en seguridad después de una violación o filtración de información seria. Desafortunadamente, antes de eso, las negociaciones en relación a la ciberseguridad siempre favorecen al precio más bajo. Lo más preocupante es que en lo que más y más empresas se unen a la transformación digital, las posibilidades de que sufran una brecha de seguridad aumenta. Según nuestra encuesta, al 23% de los CISOs en Latinoamérica les preocupa el hacktivismo ya que estas actividades pueden llegar a paralizar la operación de una empresa. Pienso que el ser consiente de los riesgos debería motivar a los CISOs a invertir en seguridad, pues ésta es la única manera de prevenir la interrupción del negocio y proteger el futuro de la empresa”, explicó Claudio Martinelli, Director General para América Latina en Kaspersky Lab.