¿Ha llegado el momento de que las empresas consideren la seguridad en línea como una prioridad?

146
¿Ha llegado el momento de que las empresas consideren la seguridad en línea como una prioridad?
Anurag Kahol, director técnico de Bitglass

El director técnico de Bitglass, Anurag Kahol, analiza el momento de que las empresas tomen en consideración la seguridad en línea como una prioridad.

Durante la última década, las iniciativas de responsabilidad corporativa se han abierto camino en las páginas web de casi todas las empresas de la lista Fortune 500. Las compañías de todo el mundo se han comprometido a mejorar el medio ambiente, ofrecer transparencia en sus cadenas de suministro y promover culturas corporativas diversas e inclusivas. Pero, ¿se puede decir lo mismo de sus políticas de seguridad en línea y protección de los datos de los clientes? A partir de una reciente investigación, este artículo analiza hasta qué punto este aspecto es una prioridad para las grandes empresas de la lista Fortune 500 de 2019, qué sectores obtienen mejores y peores resultados, y cuál puede ser el impacto a largo plazo.

La seguridad de la información, bajo lupa

Bitglass realizó recientemente un importante estudio de investigación de todas las compañías que figuran en la lista Fortune 500 de 2019 con el fin de identificar qué prioridad dan las principales empresas del mundo a la seguridad de la información y la protección de los datos. La investigación quería responder principalmente dos preguntas:

1) ¿La página web de la empresa contiene un apartado de misión que describa claramente los esfuerzos de seguridad cibernética que realiza la compañía o su compromiso con la protección de la privacidad y los datos de los clientes?

2) ¿Queda claro, a partir de la información disponible, si cuenta con profesionales especializados a cargo de las iniciativas de ciberseguridad o la protección de datos?

Para encontrar las respuestas, se buscaron en las páginas web de las compañías palabras clave y frases que acreditaran que consideran como una prioridad la seguridad de la información de identificación personal (PII) y la privacidad de los clientes. También se utilizó una base de datos de empresas líderes para identificar si cada empresa contaba con un director de seguridad de la información (CISO) o un director de seguridad (CSO). Los resultados fueron muy interesantes…

Preocupación por las credenciales de seguridad y el liderazgo

El 38 % (en total 190) de las empresas de la lista Fortune 500 de 2019 no disponen actualmente de un CISO. De estas 190 empresas, solo 30 cuentan con algún otro ejecutivo señalado como responsable de la estrategia de ciberseguridad, por ejemplo un vicepresidente de seguridad. Esto indica que casi un tercio de todas las compañías Fortune 500 no tienen un responsable claro y designado a la ciberseguridad en su alta dirección. Además, de las 310 compañías restantes (62 %) que sí disponen de un CISO, solo 13 lo indican en las páginas referidas a los directivos senior de la firma.

En lo que se refiere a la privacidad, los resultados son similares. Un total de 261 compañías Fortune 500 no ofrecen información en sus páginas web sobre cómo están protegiendo los datos de clientes y socios, más allá del aviso de privacidad requerido legalmente. Esto sugiere que más de la mitad (52 %) de las compañías más grandes y reconocidas del mundo no quieren o no pueden compartir ningún detalle acerca de sus estrategias de protección de datos.

La mayor variación entre sectores de actividad

Como era de esperar, existen grandes diferencias entre los distintos sectores en lo que respecta a su liderazgo interno en seguridad de la información y a la importancia que dan a la información sobre protección de datos. En lo que respecta a la existencia de un CISO o un alto directivo a cargo de la seguridad, los sectores con mejores resultados son el transporte (57 %), aeroespacial (33 %) y los seguros (30 %). El sector aeroespacial también ocupa el primer lugar en lo que concierne a ofrecer información de protección de datos, que está disponible para el público en un 89 % de los casos, denotando la importancia de la seguridad y la protección de datos para esa industria. Quizás como era de esperar debido a su estricta regulación, el sector financiero ocupa el segundo lugar con un 72 %, mientras que el sector tecnológico está en tercer lugar con un 66 %.

La otra cara de la moneda es que ni una sola empresa de la lista Fortune 500 perteneciente al sector de hostelería tiene designado un directivo a cargo de la seguridad cibernética. Lo mismo ocurre en más del 90 % de las empresas manufactureras y de telecomunicaciones. El sector de la hostelería también obtiene resultados igual de pobres en lo que respecta a ofrecer información disponible públicamente sobre la protección de datos, quedando en último lugar junto con el sector de la construcción y del petróleo y el gas, con solo un 25 % cada uno.

¿Por qué es importante?

En el pasado, muchas compañías, incluso las Fortune 500, podían permitirse el riesgo de perder datos confidenciales, pero hoy en día esa posibilidad es absolutamente impensable. La laxitud de la seguridad no solo puede provocar brechas y robos de datos, sino que también puede tener serias repercusiones, que van desde multas de los organismos reguladores hasta daños a la reputación, con consecuencias potencialmente fatales. Si bien sería demasiado arriesgado extraer conclusiones definitivas de este estudio, algunos de sus aspectos clave dejan en mal lugar a muchas de las empresas analizadas. ¿Existe la posibilidad de que estos resultados solo sean la punta del iceberg?

Para proporcionar más contexto sobre los peligros potenciales de las políticas de seguridad inadecuadas entre las grandes empresas, Bitglass también ha investigado las consecuencias a largo plazo de las tres mayores violaciones de la seguridad de los datos sufridas por compañías que cotizan en bolsa en los últimos tres años. El análisis incluye los casos de LinkedIn, Yahoo y Verizon Enterprise en 2016; Dun y Bradstreet, Sonic y Equifax en 2017; y Marriott, Facebook y Chegg en 2018.

El número medio de personas que vieron expuesta su información personal en cada una de estas brechas alcanza la asombrosa cifra de 257 millones de individuos, y los incidentes costaron a cada compañía una media de 347 millones de dólares entre honorarios legales, multas, costes de remediación y otros gastos. Además, estas empresas registraron una caída media del 7,5 % en el precio de sus acciones después de sufrir una brecha de datos, lo que provocó una pérdida de capitalización de mercado media de 5.400 millones de dólares por empresa. En resumen, el daño sufrido en todos los casos fue, como poco, severo.

La confianza pública requiere un compromiso público

Como muestran los resultados de este estudio, la falta de seguridad (y sus brechas resultantes) pueden tener repercusiones significativas a largo plazo para las empresas de cualquier sector. Si una compañía quiere mantener la confianza de sus diversos públicos y tener éxito en los negocios, debe acreditar públicamente que su compromiso con la ciberseguridad es una prioridad. En otras palabras, la protección de los datos personales y la privacidad de los consumidores deben ser tan importantes como cualquier otra área de actividad corporativa.

  • Anurag Kahol, director técnico de Bitglass