Aunque ha habido un aumento de los ciberataques durante el pasado año, casi 9 de cada 10 compañías (el 87%) sostiene que no invierte lo suficiente para poner en marcha sistemas de ciberseguridad totalmente efectivos, según el informe Global Information Security Survey de la consultora EY. De hecho, el 55% de los directivos encuestados por EY no toma en cuenta la ciberseguridad como una parte fundamental de la estrategia de su negocio.
Pasar por alto la atención a la seguridad de los dispositivos y redes corporativas puede ser muy perjudicial para empresas de cualquier tamaño. Además del coste asociado a la reparación de los sistemas y la interrupción de las actividades comerciales, que generan pérdidas financieras, la falta de una protección efectiva puede causar graves daños a la reputación de las empresas. Echemos un vistazo al estado de la ciberseguridad empresarial según el informe de EY y veamos qué medidas podemos tomar para salvaguardar nuestros sistemas.
En busca de una ciberseguridad más eficiente
El estudio afirma que el 77% de las compañías está en la actualidad buscando una mayor sofisticación en sus medidas de ciberseguridad. Las organizaciones continúan trabajando en los puntos esenciales de una estrategia de ciberseguridad, pero también comienzan a reconsiderar sus enfoques e infraestructura de IT para obtener soluciones más eficaces. Según el informe, parte de este esfuerzo incluye la consideración e implementación de soluciones con inteligencia artificial, automatización, robótica y análisis de seguridad que permitan aumentar la protección de sus principales bienes e información. En concreto, las empresas muestran un gran interés por herramientas basadas en machine learning para detectar y prevenir ataques con y sin malware.
En este sentido, EY confirma que existe un importante margen de mejora: solo 1 de cada 10 organizaciones afirma que sus soluciones de seguridad actuales cumplen su función de forma correcta (y muchos se preocupan porque las mejoras esenciales todavía no están a la vista). Sin embargo, las organizaciones reconocen que es improbable que estas prácticas de seguridad se endurezcan a menos que sufran brechas de datos o incidentes con impactos negativos para el negocio. Sin embargo, esperar a un ataque es un error comunmente extendido que puede hacer temblar los cimientos de una empresa. Como hemos dicho en varias ocasiones, las compañías no deben limitarse a actuar después de que ocurra la amenaza. Es por ello que actividades como el Threat Hunting, que monitoriza, analiza y detecta comportamientos anómalos para adelantarse a las amenazas, ganan popularidad.
Según el estudio, las amenazas más comunes comienzan con ataques de phishing o que recurren a diferentes tipos de malware, y el precio a pagar por la falta de protección es cada vez más alto. Por ejemplo, en 2018, cibercriminales inyectaron malware a servidores ATM de un banco indio, causándole una pérdida de 13,5 millones de dólares a través de retiros de efectivo simultáneos en distintos países. Ya que los ciberatacantes ven en el sector bancario un botín jugoso, desde Panda Security hemos preparado una guía de supervivencia contra ciberatracos millonarios que no debe ser ignorada.
Seguridad como parte de la estrategia de transformación digital
La ciberseguridad debe empezar a adquirir un carácter estratégico para todas las organizaciones empresariales e incluso instituciones públicas. Ambas deben identificar, según la naturaleza de su negocio, cuáles son las soluciones más eficientes y robustas que pueden implementar. A medida que las organizaciones experimentan procesos de transformación digital, con nuevas variables de negocio (ventas y soporte online, automatizaciones, aplicaciones…), son cada vez más conscientes del riesgo que traen las tecnologías y de la importancia de implementar estrategias de seguridad que no limiten el crecimiento empresarial. No obstante, como podemos ver, todavía no invierten lo suficiente en implementar medidas de seguridad adecuadas.
Integrar la seguridad desde el diseño de las estrategias de negocio, aplicaciones y tecnologías, debe ser un principio clave para las empresas que naveguen el nuevo ecosistema empresarial. Las organizaciones y empresas deben progresar en su protección, identificando assets y construyendo líneas de defensa para nuevos y viejos perímetros de seguridad. En este sentido, vemos que emergen perfiles directivos como el Chief Security Officer (CSO) o el Chief Information and Security Officer (CISO) a medida que la seguridad se convierte en este motor de crecimiento para el negocio, pero parte de las empresas todavía no han designado un responsable claro de la seguridad de la empresa
El informe también destaca que las empresas deben optimizar la ciberseguridad, dejando atrás actividades con poco valor, aumentando la eficiencia de las existentes, y reinvirtiendo en tecnologías innovadoras. Modelos de ciberseguridad avanzada como Panda Adaptive Defense, que incluye una monitorización completa de las aplicaciones y dispositivos, permiten gestionar los riesgos empresariales de manera efectiva y dar visibilidad sobre las amenazas para atajarlas antes de que causen estragos. La seguridad no debe verse como un complemento deseable. La seguridad es un proceso, y debe formar parte de la gestión estratégica de las empresas que deseen mantenerse a flote en la era de las tecnologías inteligentes.