La ciberseguridad en la estrategia de negocio de una organización

Por: Samuel Ardila, Socio de Asesoría en Riesgos, Región Andina de Deloitte Spanish Latin America

La gestión de la ciberseguridad fue por algún tiempo un área subestimada por algunas de las empresas, pero esos días ya pasaron. Actualmente, tener una estrategia en esta área, además de ser una parte importante del escudo contra las ciberamenazas, es un adhesivo que mantiene unidas a las organizaciones, al vincular estrechamente la gestión de los riesgos con las operaciones, los resultados y las oportunidades del negocio.

Al respecto, la Encuesta global sobre el futuro de la ciberseguridad 2023, realizada por Deloitte, describe cómo esta se ha convertido en un facilitador para los negocios y cómo su integración en todas las prácticas ha resultado en un éxito rotundo. Por lo anterior, la ciberseguridad ya no solo incumbe a los departamentos de tecnología de la información, pues ahora es un elemento fundamental para la estrategia de negocio de toda organización.

El estudio, en el que participaron 1.100 líderes de seguridad de la información de todas las geografías e industrias, reveló que el 91 % de las organizaciones consultadas sufrieron al menos un incidente de ciberseguridad en el último año (un 3 % más que en 2021) y el 56 % informó que a raíz de los incidentes experimentó consecuencias moderadas o graves.

Al mismo tiempo, el 86 % de los ejecutivos afirmó que su enfoque de protección de datos tuvo una contribución significativa y positiva en los negocios. De hecho, las organizaciones que experimentaron interrupciones constantes realizaron ajustes en sus prioridades e iniciativas comerciales para considerar nuevas tecnologías, al mismo tiempo que trabajaron con ecosistemas extendidos para desarrollar soluciones.

Principales hallazgos

Para clasificar la madurez en la gestión de la ciberseguridad de las empresas, Deloitte utilizó tres conjuntos de prácticas: planificación de la ciberseguridad, ejecución de actividades clave de gestión de la ciberseguridad e involucramiento de la junta directiva. Con base en lo anterior, el informe segmenta las organizaciones en tres grupos según su nivel de madurez (baja, media y alta).

Al separar las organizaciones con madurez cibernética alta de sus contrapartes que se encuentran en un nivel medio y bajo, el informe identifica que hacen distinto las empresas líderes en la gestión de la ciberseguridad y presenta hasta qué punto esta sustenta el éxito y el valor empresarial.

Entre los principales descubrimientos e iniciativas que implementaron las organizaciones con mayor madurez se encuentran:

• La puesta en funcionamiento de la nube como plataforma de almacenamiento de datos y como parte del proceso de transformación digital es una prioridad para los líderes en ciberseguridad. La nube asciende al primer puesto y desplaza a las analíticas de datos al segundo lugar de iniciativas de mayor relevancia.
• El creciente papel de las tecnologías de la información en lograr las ambiciones empresariales permite la entrada de nuevos modelos de negocio, pero también amplía la superficie de ataque, por lo que es necesario integrar la gestión de la ciberseguridad desde el principio de la iniciativa.
• Las compañías con madurez alta en la gestión de la ciberseguridad obtuvieron un 30 % más de estos servicios por parte de terceros, principalmente relacionados con la gestión de la ciberestrategia, la protección de los datos, la privacidad y la seguridad en la nube.
• El 76 % de los encuestados informó el uso de capacidades de comportamiento automatizado para detectar y mitigar el riesgo cibernético, en comparación con el 53 % en 2021.
• El 87 % de las organizaciones con mayor madurez tienen más probabilidades de contar con planes sólidos de respuesta a incidentes. Específicamente, el 91 % tienen un plan operativo y estratégico sólido, mientras que el 88 % desarrolla uno para evaluar la protección de los datos.
• Las empresas con madurez cibernética alta (60 %) tienen tres veces más probabilidades que las organizaciones de madurez cibernética baja (20 %) y el doble de probabilidades que las que se encuentran en el nivel medio (30 %) de llevar a cabo la planificación de escenarios de respuesta a incidentes en el nivel organizacional y directivo de la compañía.
• El 70 % de los encuestados informaron que la ciberseguridad estaba regularmente en la agenda de su junta directiva, lo que sugiere que esta constituye un área funcional distinta del negocio.
• La falta de profesionales calificados en ciberseguridad es un desafío significativo para el 47 % de las organizaciones con alta madurez, lo que sugiere que las empresas valoran la importancia que el talento experimentado puede aportar a los esfuerzos de gestión de los riesgos cibernéticos.

Como se puede apreciar, el futuro de la ciberseguridad va más allá de un enfoque centrado en la tecnología, para estar orientado en los resultados positivos que resultan de la integración de la gestión de la ciberseguridad en todo el negocio.

Lo que está en juego es enorme, ya sea la interrupción operativa, la afectación de la reputación o la pérdida de valor de las acciones. Por eso las compañías deben priorizar la contratación y el desarrollo del talento cibernético adecuado, ejecutar una planificación exhaustiva y asociarse con ecosistemas extendidos, todo ello mientras se incorpora la ciberseguridad en las iniciativas estratégicas del negocio.

Para conocer más sobre la Encuesta global sobre el futuro de la ciberseguridad 2023 de Deloitte, visite: www.deloitte.com/2023futureofcyber