La consultora PwC ha publicado su informe Global Digital Trust Insights 2022, una encuesta que realizado entre 3.602 ejecutivos de neogocios, tecnología y seguridad de nivel C, contando con CEOs, CFOs, CIOs, y directores corporativos. El estudio se llevó a cabo entre julio y agosto de este año en más de 60 territorios.
La encuesta se centra en el ámbito digital y, en concreto, en el aspecto de la ciberseguridad, abordando cómo supone una preocupación para el negocio al completo, en cada función y para cada empleado.
El trabajo pone de manifiesto que el 69% de las organizaciones espera un aumento en el gasto cibernético para 2022 en comparación con el 55% del año anterior. Un 26% predice que el presupuesto aumentará el gasto un 10% o más.
Un aspecto que se investigado en la encuesta es si el CEO puede marcar la diferencia en la ciberseguridad de la organización. Resulta que aquellos consejeros delegados que obtuvieron los mejores resultados en ciberseguridad en los últimos dos años tienen 14 veces más probabilidades de brindar un apoyo significativo y amplio a este aspecto.
En la encuesta los CEOs perciben que están más involucrados en el aspecto de la ciberseguridad y la consecución de objetivos en el ámbito cibernético que sus equipos. Sin embargo, otros altos cargos han calificado a sus jefes como más reactivos que proactivos respecto a la ciberseguridad. Aseguran que es más probable que un CEO se implique en temas cibernéticos y de privacidad después de que se haya dado una brecha o cuando los reguladores les reclamen cosas, no antes.
El 37% de los CEOs indicaron que brindan apoyo cibernético significativo, pero solo el 30% de los directivos no CEOs estuvieron de acuerdo en que sus superiores lo hicieran.
Por otro lado, en lo que sí coinciden los consejeros delegados y sus 'apóstoles' es que se marcan objetivos más amplios y relacionados con el crecimiento de su equipos de seguridad, en lugar de expectativas más estrechas y a corto plazo.
La cibernética y la ciberseguridad se han colado entre los objetivos principales de las compañías para los próximos tres años. Las principales metas son la mayor prevención de ataques exitosos, tiempos de respuesta más rápidos a incidentes e interrupciones y mayor confianza de los líderes en la capacidad de la organización para gestionar las amenazas presentes y futuras.
La brecha entre el CISO y el CEO aun es grande. Esta, de hecho, resultaría más pronunciada en Europa Occidental y Europa del Este, donde un 27% y un 28% de los responsables de seguridad, respectivamente, colocó al consejero delegado entre los tres últimos puestos con quienes menos interactúan en la empresa. En Asia Pacífico el porcentaje sería de un 21% y en América del Norte un 19%.
Simplicidad o complejidad
Otro de los aspectos en los que se ha centrado la encuesta de Pwc es la complejidad de las organizaciones y cómo influye esto en su protección. Un 75% de los ejecutivos, incluyendo los CISO, opina que sus empresas son demasiado complejas, lo que complica su securización.
Los datos seríanel principal motivo de preocupación, especialmente para las grandes empresas (que facturan 1.000 millones de dólares o más). La gobernanza de datos (77%) y la infraestructura de datos (77%) ocuparon el primer lugar entre las áreas de complejidad "innecesaria y evitable".
Las redes y dispositivos tecnológicos, sobre todo de las grandes empresas, también resultan muy complejos. Las fusiones y adquisiciones también tienden a complicar todo esto un poco más, ya que se multiplican los riesgos al conectar redes y sistemas ya complejos. Las empresas nativas digitales y startups suelen usar tecnologías más nuevas y son un poco más flexibles y simples en este sentido.
Los encuestados han citado como principales consecuencias de la complejidad operativa las pérdidas financieras debido a violaciones de datos exitosas o ataques cibernéticos, la incapacidad para innovar tan rápido como lo permiten las oportunidades de mercado y la falta de resistencia operativo o capacidad para recuperarse de un ciberataque o brecha de seguridad.
Solo el 35% de los encuestados afirma haber llevado a cabo alguna optimización de sus operaciones para reducir la complejidad. Las empresas que obtuvieron los mejores resultados de ciberseguridad en los últimos dos años tienen 5 veces más probabilidades de haber simplificado las operaciones en toda la empresa.
En la simplificación de la ciberseguridad el gasto se reparte entre varias iniciativas. Un 12% se lo lleva la integración de controles y procesos a través de distintas disciplinas, otro 12% la reducción o supresión de la tecnología obsoleta y otro 12% la adopción de una estrategia de tecnología cloud-first. Esos son las partidas que se quedan con mayor cuantía.
La seguridad en la nube sería la principal prioridad de la inversión de los encuestados. Sin embargo, solo un 16% percibe los beneficios de esas inversiones. El 35% afirma no haberse beneficiado por completo de las inversiones en seguridad en la nube y el 45% está comenzando a planificarse las suyas.
Los datos, un gran tesoro
Los datos son los activos que más persiguen los ciberatacantes. Las empresas pueden minimizar el riesgo minimizando el objetivo. Tienen que descubrir y proteger aquellos datos que sean indispensables y eliminar el resto. La información de bajo valor no solo crea riesgos innecesarios, sino que también desplaza o entierra a los datos de alto valor.
El estudio pone de relevancia que menos de 1 de cada 3 organizaciones usan los datos y la inteligencia a su alcance para tomar decisiones. El 18% de los CEO y el 20% de los otros directivos seleccionaron la confianza del cliente como la manera en la que el consejero delegado enmarca la misión cibernética en su organización.
Solo un tercio de los encuestados afirmó tener procesos de confianza de datos maduros y completamente implementados en cuatro áreas: gobernanza, descubrimiento, protección y minimización. Por otro lado, casi una cuarta parte de los encuestados señalaron que no cuentan con ningún proceso formal de confianza en los datos.
Por otro lado, solo un tercio de los encuestados comentó haber implementado procesos formales de seguridad de datos, que incluyen el cifrado y el intercambio seguro de datos (34%). Únicamente el 35% ha mapeado sus datos para saber de dónde vienen y adónde van.
En cuanto a las herramientas, los directivos no parecen haber aprendido a beneficiarse de su uso para protegerse. Solo un 30% de los encuestados considera que la inteligencia de amenazas en tiempo real es crítica para su modelo operativo en la actualidad. Y esta sería uno de los factores más utilizados.
Un número creciente de organizaciones reconoce la importancia de la ciberseguridad para las empresas, pero muchas todavía tienen un largo camino por recorrer. Entre el 37% y el 42% afirma que hay un "progreso significativo" que une a los dos, mientras que entre el 16% y el 18% dice que ha logrado poco o ningún progreso en la alineación de los objetivos cibernéticos y comerciales.
Un 70% de los encuestados espera un aumento del delito cibernético para los próximos 12 meses. El 53%, además, asegura que es probable que se incrementen los ataques a estados-nación. Pero las amenazas pueden tomar cualquier forma en la mente de los directivos.
Los ataques a servicios en la nube (22%) superaron por poco al ransomware (21%) y la minería de criptomonedas (21%), ya que es más probable que experimenten aumentos significativos. Le siguen la criptominería (21%), el malware vía actualización de software (20%), los ataques de estados en infraestructuras críticas (20%) y el compromiso del email corporativo (20%).
El 56% espera un aumento en las infracciones a través de su cadena de suministro de software, y el 19% espera crecimientos significativos, un número que aumenta al 25% entre los encuestados de América del Norte.