Anurag Kahol

Opinión

¿Ha llegado el momento de que las empresas consideren la seguridad en línea como una prioridad?

Guardar

Anurag-Kahol-Bitglass
Anurag-Kahol-Bitglass

El director técnico de Bitglass, Anurag Kahol, analiza el momento de que las empresas tomen en consideración la seguridad en línea como una prioridad.

Durante la última década, las iniciativas de responsabilidad corporativa se han abierto camino en las páginas web de casi todas las empresas de la lista Fortune 500. Las compañías de todo el mundo se han comprometido a mejorar el medio ambiente, ofrecer transparencia en sus cadenas de suministro y promover culturas corporativas diversas e inclusivas. Pero, ¿se puede decir lo mismo de sus políticas de seguridad en línea y protección de los datos de los clientes? A partir de una reciente investigación, este artículo analiza hasta qué punto este aspecto es una prioridad para las grandes empresas de la lista Fortune 500 de 2019, qué sectores obtienen mejores y peores resultados, y cuál puede ser el impacto a largo plazo.

La seguridad de la información, bajo lupa

Bitglassrealizó recientemente un importante estudio de investigación de todas lascompañías que figuran en la lista Fortune 500 de 2019 con el fin de identificarqué prioridad dan las principales empresas del mundo a la seguridad de lainformación y la protección de los datos. La investigación quería responder principalmentedos preguntas:

1) ¿La página web de la empresa contiene un apartado de misión quedescriba claramente los esfuerzos de seguridad cibernética que realiza la compañíao su compromiso con la protección de la privacidad y los datos de los clientes?

2) ¿Queda claro, a partir de la información disponible, si cuentacon profesionales especializados a cargo de las iniciativas de ciberseguridad ola protección de datos?

Para encontrarlas respuestas, se buscaron en las páginas web de las compañías palabras clavey frases que acreditaran que consideran como una prioridad la seguridad de lainformación de identificación personal (PII) y la privacidad de los clientes.También se utilizó una base de datos de empresas líderes para identificar sicada empresa contaba con un director de seguridad de la información (CISO) o undirector de seguridad (CSO). Los resultados fueron muy interesantes...

Preocupación por las credenciales de seguridad y el liderazgo

El 38 % (en total 190) de las empresas de la lista Fortune 500 de 2019 no disponen actualmente de un CISO. De estas 190 empresas, solo 30 cuentan con algún otro ejecutivo señalado como responsable de la estrategia de ciberseguridad, por ejemplo un vicepresidente de seguridad. Esto indica que casi un tercio de todas las compañías Fortune 500 no tienen un responsable claro y designado a la ciberseguridad en su alta dirección. Además, de las 310 compañías restantes (62 %) que sí disponen de un CISO, solo 13 lo indican en las páginas referidas a los directivos senior de la firma.

En lo que serefiere a la privacidad, los resultados son similares. Un total de 261compañías Fortune 500 no ofrecen información en sus páginas web sobre cómoestán protegiendo los datos de clientes y socios, más allá del aviso deprivacidad requerido legalmente. Esto sugiere que más de la mitad (52 %) de lascompañías más grandes y reconocidas del mundo no quieren o no pueden compartirningún detalle acerca de sus estrategias de protección de datos.

La mayor variación entre sectores de actividad

Como era deesperar, existen grandes diferencias entre los distintos sectores en lo querespecta a su liderazgo interno en seguridad de la información y a laimportancia que dan a la información sobre protección de datos. En lo querespecta a la existencia de un CISO o un alto directivo a cargo de laseguridad, los sectores con mejores resultados son el transporte (57 %),aeroespacial (33 %) y los seguros (30 %). El sector aeroespacial también ocupael primer lugar en lo que concierne a ofrecer información de protección dedatos, que está disponible para el público en un 89 % de los casos, denotando laimportancia de la seguridad y la protección de datos para esa industria. Quizáscomo era de esperar debido a su estricta regulación, el sector financiero ocupael segundo lugar con un 72 %, mientras que el sector tecnológico está en tercerlugar con un 66 %.

La otra carade la moneda es que ni una sola empresa de la lista Fortune 500 pertenecienteal sector de hostelería tiene designado un directivo a cargo de la seguridadcibernética. Lo mismo ocurre en más del 90 % de las empresas manufactureras yde telecomunicaciones. El sector de la hostelería también obtiene resultadosigual de pobres en lo que respecta a ofrecer información disponiblepúblicamente sobre la protección de datos, quedando en último lugar junto con elsector de la construcción y del petróleo y el gas, con solo un 25 % cada uno.

¿Por qué es importante?

En el pasado,muchas compañías, incluso las Fortune 500, podían permitirse el riesgo de perderdatos confidenciales, pero hoy en día esa posibilidad es absolutamenteimpensable. La laxitud de la seguridad no solo puede provocar brechas y robosde datos, sino que también puede tener serias repercusiones, que van desdemultas de los organismos reguladores hasta daños a la reputación, conconsecuencias potencialmente fatales. Si bien sería demasiado arriesgado extraerconclusiones definitivas de este estudio, algunos de sus aspectos clave dejanen mal lugar a muchas de las empresas analizadas. ¿Existe la posibilidad de queestos resultados solo sean la punta del iceberg?

Paraproporcionar más contexto sobre los peligros potenciales de las políticas deseguridad inadecuadas entre las grandes empresas, Bitglass también hainvestigado las consecuencias a largo plazo de las tres mayores violaciones dela seguridad de los datos sufridas por compañías que cotizan en bolsa en losúltimos tres años. El análisis incluye los casos de LinkedIn, Yahoo y VerizonEnterprise en 2016; Dun y Bradstreet, Sonic y Equifax en 2017; y Marriott,Facebook y Chegg en 2018.

El númeromedio de personas que vieron expuesta su información personal en cada una deestas brechas alcanza la asombrosa cifra de 257 millones de individuos, y losincidentes costaron a cada compañía una media de 347 millones de dólares entrehonorarios legales, multas, costes de remediación y otros gastos. Además, estasempresas registraron una caída media del 7,5 % en el precio de sus accionesdespués de sufrir una brecha de datos, lo que provocó una pérdida decapitalización de mercado media de 5.400 millones de dólares por empresa. Enresumen, el daño sufrido en todos los casos fue, como poco, severo.

La confianza pública requiere un compromiso público

Como muestran los resultados de este estudio, la falta de seguridad (y sus brechas resultantes) pueden tener repercusiones significativas a largo plazo para las empresas de cualquier sector. Si una compañía quiere mantener la confianza de sus diversos públicos y tener éxito en los negocios, debe acreditar públicamente que su compromiso con la ciberseguridad es una prioridad. En otras palabras, la protección de los datos personales y la privacidad de los consumidores deben ser tan importantes como cualquier otra área de actividad corporativa.

  • Anurag Kahol, director técnico de Bitglass