El 59% de los encuestados señala las restricciones de presupuesto como el principal motivo, el 58% apunta a la falta de recursos especializados y un 29% lo atribuye a la falta de concienciación y apoyo de la cúpula ejecutiva
Pese a que las grandes compañías son cada vez más conscientes del riesgo que supone la creciente sofisticación de los ciberataques, el 89% de los directivos encuestados en el estudio Global Information Security Survey (GISS) de EY señala que las medidas de ciberseguridad implementadas por sus compañías no son capaces de responder totalmente a las necesidades del negocio. Para la elaboración de este informe, la Firma ha sondeado a 1.200 ejecutivos de compañías de todo el mundo para analizar cómo reaccionan ante las ciberamenazas en el actual ecosistema digital
Elena Maestre, Socia responsable de Consultoría de Riesgos de EY, explica que “frente a los ataques comunes que se vienen produciendo históricamente, se incrementan los sofisticados y organizados. Son cada vez más preocupantes los ciberataques emergentes de las nuevas tecnologías y los procedentes de la convergencia de los dispositivos personales con los corporativos bajo la misma red”.
Según el informe, los directivos identifican tres vulnerabilidades principales que les impiden contar con el sistema adecuado de ciberprotección: el 59% de los encuestados señala a las restricciones de presupuesto, el 58% apunta a la falta de recursos especializados, mientras que un 29% lo atribuye a la falta de concienciación y apoyo por parte de la cúpula directiva.
Para responder a este escenario de vulnerabilidad, las compañías están aumentando la dotación presupuestaria destinada a protegerse de los ataques. Así, un 59% de los ejecutivos sondeados para la realización del informe señala que su presupuesto se ha incrementado durante los últimos doce meses. Sin embargo, estos incrementos se estiman insuficientes, ya que el 87% ve necesario que las partidas aumenten un 50% más, mientras que el 12% ve adecuado un incremento de más del 25% en el presupuesto de ciberseguridad.
En la misma línea, el 56% de los directivos consultados dice haber cambiado su estrategia y planificación sobre ciberprotección para hacer frente a la sofisticación de los ataques o está en proceso de rediseñarla.
Según Julio San José, Socio responsable de Ciberseguridad para Servicios Financieros de EY, “los incidentes de seguridad globales vividos en este último año han conseguido sensibilizar e interesar más a los órganos directivos de las organizaciones. Por ello, se ha incrementado un 4% el número de compañías que incluyen la ciberseguridad en sus programas de estrategia corporativa, como demuestra el estudio”.
Sin embargo, según se desprende del informe, el 57% de las organizaciones dice no tener un programa formal de ciberseguridad, o tiene uno informal, y el 48% carece de un centro de operaciones de seguridad (SOC, por sus siglas en inglés) para monitorizar de forma continua los ciberataques. Además, cuando se trata de identificar vulnerabilidades cibernéticas, el 75% afirma que sus sistemas no cuentan con la madurez suficiente y un 12% reconoce no tener implementado ningún programa de detección de amenazas. De la misma manera, un 76% descubrió la brecha de seguridad existente en la organización tras un sufrir un ataque.
La ciberseguridad y el Consejo de Administración
Pese a que ninguna organización puede anticiparse totalmente a los riesgos que emergen, las corporaciones más innovadoras cuentan con sistemas ágiles de prevención y respuesta que les permiten anticiparse en cierta manera a un potencial ataque y actuar rápidamente. Así, las compañías que cuentan con buenos procesos de gobernanza corporativa en sus Consejos de Administración tienen en marcha sistemas y procesos capaces de hacer frente riesgos inesperados y peligros potenciales.
Sin embargo, el estudio revela que solo el 17% de los Consejos tiene suficiente conocimiento de la seguridad de la información para evaluar la efectividad de las medidas de ciberprotección puestas en marcha y únicamente el 24% de los directivos apunta que el profesional encargado de los sistemas de seguridad cibernética tiene un asiento en el Consejo de la compañía. De esta manera, el 63% de las empresas encuestadas todavía tienen integrada su función de ciberseguridad en el departamento de IT y solo el 50% reporta regularmente esta información al Consejo de Administración.