Los ataques cibernéticos contra grandes firmas en el mundo, incluyendo los gigantes de la tecnología digital, nos dejan claro que la ciberseguridad es asunto serio. No puedo decir, como es usual: “a cualquiera le puede pasar”; más bien hay que decir: “a todos nos va a pasar”. Toda empresa debe considerar que resulta altamente probable sufrir uno o varios incidentes durante el año. En el estudio de tendencias de ciberseguridad en Latinoamérica para el 2019, un 48 % de las firmas consultadas por Deloitte dijo haber sufrido tres ciberataques o más en los 24 meses anteriores. Por su parte, un 21 % respondió que dos, 21 % señaló que uno y un 9 % dijo desconocer al respecto. Las tendencias en tal región son las mismas que las que Deloitte ha identificado en el resto del mundo.
Los cambios constantes en los modelos de negocio, la revolución tecnológica y la transformación digital –junto con las cada vez más permanentes amenazas de malware y otros ataques– hacen que los gerentes presten más atención a su gestión de ciberseguridad y le dediquen mayor cantidad de recursos. Aun así, parecieran modestos todavía. De acuerdo con el estudio mencionado, la inversión en ciberseguridad de un 63 % de las 150 empresas consultadas representa entre 1 % y 5 % del presupuesto total del área de TI.
A pesar de que los líderes de estas organizaciones están de acuerdo en que el tema es serio, no hay congruencia entre lo que dicen y lo que hacen. Las prácticas para el monitoreo de eventos, la inteligencia para enfrentar las amenazas y el desarrollo de procesos de detección y respuesta ante incidentes ciber muestran que falta mucho por hacer. Y ahí es donde hay que hacer.
En mi anterior columna, precisamente sostenía que hacía falta más visión estratégica en el tema de la ciberseguridad por parte de los equipos directivos y la alta gerencia. Si tuviera que darles una recomendación a los líderes de negocios, sería que pidieran una verificación de la efectividad de las capacidades de protección, monitoreo y respuesta ante ciberincidentes y luego desarrollen un plan de acción. Entre los encuestados en la región se evidenció que más de la mitad de las organizaciones no ha incorporado este escenario dentro de sus programas de continuidad de negocio y solo un 3 % realiza algún tipo de simulación de un incidente para validar su nivel de preparación y respuesta. Además, únicamente un 5 % dijo sentirse extremadamente protegido y un 47 % aceptó que sus políticas de protección de datos son básicas.
Mi segunda sugerencia sería formalizar una estructura de gobierno de ciberseguridad y asignar un presupuesto a tono con el apetito de riesgo de la empresa.