El riesgo cibernético figura entre las primeras cinco preocupaciones de las organizaciones y empresas, esto a pesar de que la mayoría de sus líderes se mantienen ajenos a las gestiones sobre prevención y manejo de ataques a los sistemas informativos de las compañías, reveló la Encuesta de Percepción del Riesgo Cibernético 2019, realizada Marsh, líder global en consultoría de riesgos y seguros, y Microsoft.
El estudio recoge la visión de riesgo cibernético de más de 1,500 empresas a nivel mundial,531 de ellas, localizadas en Latinoamérica.
De acuerdo con la encuesta, cerca del 80% de las organizaciones, hoy día, colocan el riesgo cibernético entre sus cinco principales preocupaciones, en comparación con el 62% reflejado en 2017. Sin embargo, solo el 11% expresó un alto grado de confianza en su capacidad para evaluar las amenazas cibernéticas, prevenir ataques, y responder a estos con eficacia. En este renglón hubo una baja, con relación a la estadística presentada hace tres años, que fue del 19%.
La gestión estratégica del riesgo cibernético continúa siendo un desafío para las organizaciones, a pesar ser este asunto uno de alta prioridad a nivel organizacional. Nueve de 10 firmas (88%) identifican a sus departamentos de tecnología y seguridad como propietarios principales de la gestión del riesgo cibernético. A menor escala, casi dos tercios (65%) de las organizaciones encuestadas identificaron a la alta gerencia y junta de directores como propietarios de la gestión del riesgo cibernético, seguidos por el área o departamento de manejo de riesgo con un 49%. La discrepancia tiene que ver con el tiempo dedicado al tema. Apenas el 16% del grupo que componen la alta gerencia y junta directiva dedican más que unos días a la gestión de dicho asunto, mientras que más que la mitad (51%) dedican pocas horas o ningún tiempo al mismo.
Al mismo tiempo, las organizaciones continúan adoptando nuevas tecnologías, pero no están seguras de los riesgos que conllevan. El 77% de los encuestados señalaron estar adoptando o haber adoptado computación en la nube (“cloud computing”), funciones, procesos automatizados y/o robóticos o de inteligencia artificial, pero solo el 5% dicen que evalúan el riesgo cibernético durante la vida útil de la tecnología. El 11% afirmó no evaluar el riesgo en lo absoluto.
Por otra parte, la encuesta establece que el 67% de la inversión en riesgo cibernético para los próximos tres años estará centrada en tecnología y mitigación, pero no en el conjunto de los elementos que crean resiliencia frente a esta situación creciente y cambiante.
“Las empresas están siendo cada vez más conscientes de este problema, pero todavía no están priorizando sus recursos en crear verdadera resiliencia, es decir, en identificar, cuantificar, mitigar, transferir y planificar su respuesta en caso de un incidente”, subrayó Kristina Evans, líder del equipo dedicado al Riesgo Cibernético de Marsh en Puerto Rico. De hecho, la encuesta demuestra que el 64% de las organizaciones consultadas mencionan que uno de los principales detonantes para el incremento en la inversión para seguridad cibernética son los ataques de este tipo.
“La dura realidad a la que las organizaciones deben enfrentarse es que el riesgo cibernético no se puede eliminar. Por lo tanto, debe gestionarse de forma estratégica desde el primer nivel de la organización”, añadió.
Por su parte, Joram Borenstein, gerente general de Cybersecurity Solutions Group en Microsoft, sostuvo que ”en la era de la tecnología de transformación y las cadenas de suministro más interconectadas, las prácticas y la mentalidad de gestión del riesgo cibernético de ayer ya no son suficientes, y en realidad, pueden inhibir la innovación. Corresponde a los líderes senior centrarse en estos temas para el bienestar de sus organizaciones, clientes, empleados y más”.