COVID-19: Cómo se verá afectada la futura inversión en ciberseguridad
Las pandemias globales se producen con muy poca frecuencia, pero cuando lo hacen, el impacto que causan es invariablemente significativo, disrumpiendo las operaciones a corto plazo e influyendo también en el comportamiento de las empresas en los meses y años siguientes.
COVID-19 no ha sido una excepción. Las nuevas investigaciones de EY revelan que la pandemia ha causado una disrupción generalizada de las operaciones de seguridad cibernética y se espera que tenga un impacto significativo en las estrategias, inversiones y prioridades futuras.
El trabajo a distancia ha sido un problema particular, y los incidentes de phishing y otras amenazas van en aumento. Las grandes empresas han podido sobrellevar la tormenta más cómodamente que las empresas medianas, especialmente las de los Estados Unidos, y la mayoría de los directores técnicos de las empresas esperan que los presupuestos se vean afectados de una forma u otra a medida que se evalúe el impacto total del riesgo.
La privacidad de los datos sigue siendo un importante motivo de preocupación, no solo en las empresas sino también entre los consumidores que desconfían de los gobiernos y las grandes empresas con sus datos personales.
La fricción y la desconexión ocasional entre los CTO y los CISO previamente identificados en el Estudio sobre la Seguridad de la Información Global de este año (febrero de 2020), y la necesidad de una colaboración mucho más estrecha con la Junta Directiva, se pone de relieve una vez más en este último informe. Los CTO parecen haberse visto más afectados por el brote de COVID-19 que los CISO, y estos últimos parecen tener menos preocupaciones presupuestarias para seguir adelante.
Es un cuadro mixto, pero en lo que la mayoría de los líderes parecen estar de acuerdo es en que las operaciones de seguridad cotidianas han sido disrumpidas, casi un tercio (29%) lo dice de manera significativa. El apoyo al trabajo a distancia fue el mayor desafío (71%), seguido de las restricciones presupuestarias (41%), la sobrecarga de la red (40%) y la reducción de los niveles de personal (37%).
El reto de obtener un apoyo externo fiable es interesante en el contexto de un nuevo informe de EY y la Asociación Internacional de Profesionales de la Privacidad (IAPP, por sus siglas en inglés) de mayo de 2020, que mostró que casi la mitad (45%) de todas las organizaciones han adoptado una nueva tecnología o han contratado a un nuevo proveedor para permitir el trabajo a distancia.
De los que citaron un aumento de las amenazas cibernéticas, la suplantación de identidad (phishing) (69%), los programas informáticos maliciosos (54%) y los programas informáticos de rescate (49%) fueron los primeros en preocuparse por las amenazas internas, los exploits de día cero y la denegación de servicio (DOS, por sus siglas en inglés).
El grado en que las empresas se han visto afectadas varía según el tamaño, la geografía y la industria. Las empresas medianas son las que más han notado el impacto, con mayores disrupciones de la red y del personal, y un número desproporcionadamente mayor de ciberataques. Las grandes empresas se han enfrentado a desafíos de trabajo a distancia pero, tal vez no sea sorprendente, han sido más resilientes a las ciberamenazas.
Los líderes de seguridad de la región de las Américas sintieron el impacto de la pandemia de COVID-19 de manera mucho más aguda que el resto del mundo (el 91% experimentó algún tipo de disrupción o significativa). Sin embargo, independientemente de su ubicación, todos comparten los desafíos que plantea el trabajo a distancia. Tal vez sea irónico que las empresas de tecnología se enfrentaron a muchas más amenazas cibernéticas que sus homólogas de los servicios financieros.
El cambio está ocurriendo, y con respecto a los presupuestos, se espera que el cambio se produzca rápidamente. Casi tres cuartas partes (79%) esperan que los presupuestos de ciberseguridad se vean afectados en los próximos seis meses, si no antes (el 21% cree que "inmediatamente"), aunque no todos piensan que se recortarán los presupuestos; algunos – de hecho, hasta un tercio (32%) – piensan que la inversión aumentará o, en el peor de los casos, se mantendrá igual (24%).
La gestión de la identidad y el acceso, y la protección de los datos y la privacidad se consideran esferas prioritarias para el aumento de los gastos, y se está estudiando la posibilidad de recurrir a la contratación externa, sobre todo en lo que respecta no solo a la protección de los datos y la privacidad, sino también al riesgo, el cumplimiento y la resiliencia.
Alrededor del 55% de las empresas encuestadas están considerando (o considerarían) la posibilidad de subcontratar las operaciones de seguridad como parte de su estrategia de seguridad cibernética.
Las conclusiones tienden a ser coherentes en todas las geografías, sectores y funciones, aunque existe un sesgo dentro de las empresas más pequeñas para dar prioridad a las operaciones de seguridad y la arquitectura e ingeniería, y hay una marcada diferencia entre los CISO y los CTO en su actitud hacia la subcontratación de las operaciones de seguridad: 44% frente al 81%.
Entonces, ¿hay cambios más duraderos o incluso permanentes en la estrategia y el enfoque previstos tras la pandemia de COVID-19? Ciertamente, los líderes de la seguridad esperan que su función sea aún más importante, ya que el 70% cree que habrá un mayor enfoque en la ciberseguridad a nivel de junta directiva/ejecutivo, especialmente en las pequeñas empresas, en América y en el sector financiero.
Se trata de un cambio notable con respecto a la Encuesta sobre Seguridad de la Información Global de 2020 anterior COVID-19, en la que se sugería que solo el 43% de las juntas directivas consideraban valioso el equipo de seguridad cibernética, y que había una clara falta de representación de la seguridad cibernética en la mesa de la junta directiva.
Una gran mayoría (72%) – con un predominio particular de los CTO – espera que la privacidad aumente en valor e importancia con la introducción de mecanismos de vigilancia para rastrear y manejar el virus. En una encuesta conexa realizada por PSB Research entre 1.000 consumidores de los Estados Unidos (abril de 2020), los resultados sugieren que los consumidores son especialmente reacios a renunciar a su intimidad personal, independientemente de los desafíos que plantea la pandemia, y de igual modo no están convencidos de que ese compromiso sea por su propio bien. Más de tres cuartas partes (81%) están preocupadas por la privacidad de los datos personales y más de dos tercios (68%) de los encuestados en los Estados Unidos creen que su gobierno debería ser capaz de controlar el virus sin tener que sacrificar su privacidad.
Pocos encuestados confían en su empleador o en su gobierno con sus datos personales y esto representa un desafío importante.
A medida que las empresas empiezan a abordar nuevas oportunidades en el espacio de la privacidad, deben prepararse urgentemente para abordar la tensión entre privacidad y seguridad. Mientras que el 82% no tendría ningún problema en que su empleador comprobara su temperatura cada mañana, solo el 11% les confiaría los datos relativos a su salud y solo el 14% la información sobre dónde viven. Es una brecha que se necesitará un puente bien diseñado para cruzar.
A medida que emergemos lentamente en un mundo post-crisis, y una nueva normalidad, será interesante ver si las predicciones de los equipos de seguridad cibernética de un estatus elevado se hacen realidad y se insertan más allá del corto plazo. Esto aún no está claro. Lo que sí está claro, sin embargo, es que nunca ha habido un momento mejor para que los CTO y los CISO demuestren su valía y vean su merecido lugar en la mesa de honor.
Adaptado de: COVID-19: Cómo se verá afectada la futura inversión en ciberseguridad (ey.com)