- Industrias y gobiernos deben unir esfuerzos para prevenirlo, sugiere estudio de Marsh y Microsoft
En los años más recientes, el riesgo cibernético para las empresas ha crecido exponencialmente a causa del desarrollo y mayor uso de tecnologías emergentes, inteligencia artificial, robótica y el internet de las cosas; paralelamente, los ataques evolucionan, patrocinados siempre por el crimen organizado.
Así lo plasma el estudio titulado Por los números: encuesta mundial de percepción del riesgo cibernético, presentado por la consultora Marsh y la empresa Microsoft, el cual sugiere que las organizaciones gestionen de manera más eficaz el riesgo cibernético aplicando un enfoque holístico que priorice las prácticas de seguridad ya probadas, así como la actualización periódica de los sistemas y otras medidas preventivas.
La encuesta de Marsh y Microsoft también indica que la superación de los desafíos gerenciales y tecnológicos que lo anterior representa se puede abordar de manera más eficiente cuando la responsabilidad se comparte entre los interesados, incluidas las juntas directivas corporativas, los ejecutivos de alto nivel, los profesionales del riesgo y los tecnólogos.
El reporte detalla que los gobiernos tienen asimismo un papel fundamental que jugar. Dado el crecimiento de los ataques orquestados por el crimen organizado, todos los instrumentos del Gobierno deben enfocarse para trabajar con la industria de forma intensiva. Los autores plantean que las capacidades de los gobiernos, que son únicas, pueden aprovecharse para aumentar la preparación cibernética en todos los sectores, lo cual incluye convocar a las partes interesadas para el desarrollo de estándares y mejores prácticas, orientado todo a eficientar la gestión del riesgo cibernético.
Por otro lado, el estudio apunta que, a medida que las organizaciones priorizan la seguridad cibernética, buscan orientación para acrecentar su preparación ante un ataque inevitable. Sugiere que las autoridades deben continuar promoviendo el desarrollo y la coordinación de marcos y prácticas para la gestión empresarial del riesgo cibernético, afinar la orientación sectorial e intersectorial y trazar al mismo tiempo estrategias nacionales para la ciberseguridad.
Por ejemplo, añade la investigación, el Marco de seguridad cibernética del NIST es una referencia obligada para las organizaciones que gestionan el riesgo cibernético en todos los dominios funcionales, y ha difundido material útil acerca de los enfoques normativos emergentes para la ciberseguridad.
Los resultados de la encuesta subrayan que el riesgo de seguridad cibernética puede gestionarse pero no eliminarse, y se advierte que la escala y la complejidad del desafío son demasiado grandes para improvisar una solución mágica. Se requiere, expone, una adaptación y una coordinación efectivas para mantenerse resiliente frente a una amenaza significativa y dinámica.
La investigación destaca además que en las últimas cuatro décadas el mundo ha experimentado un cambio enorme en lo que respecta al valor de mercado de las empresas: en 1975, sólo 17 por ciento de dicho valor en el índice S&P 500 estaba vinculado a activos intangibles, incluidos datos, propiedad intelectual y otras tecnologías. La mayor parte de su valor se ubicaba en activos físicos; hoy en día las cifras se han invertido: sólo 16 por ciento del valor se encuentra en activos físicos; el resto proviene de intangibles. Ese cambio ha sido más fácil, entre otras cosas, por los avances en el procesamiento de las computadoras, la información en la nube, los sensores, el software y los dispositivos cada vez más inteligentes, puntualiza el documento.
El resultado arroja que organizaciones de todos los tamaños y todas las industrias son vulnerables a los ciberataques, mientras que las amenazas aumentan no solo en frecuencia, sino que se vuelven más severas, diversas y complejas, con efectos muy preocupantes.
Como líderes en sus respectivas industrias, Marsh y Microsoft colaboraron en el proyecto por la preocupación que sienten respecto al estado de seguridad cibernética en la economía global y por el conocimiento de que el riesgo cibernético no es divisible por industria, tamaño de empresa o criterios similares. Más bien, se precisa, existe un interés compartido por proteger a los clientes contra esas amenazas y por identificar, desarrollar e implementar las mejores prácticas para ayudarlos a administrarlas.
El informe proporciona una perspectiva sobre el estado actual de la gestión del riesgo cibernético en organizaciones de todo el mundo tras recabar el punto de vista de más de 1,300 especialistas en el tema y otros altos ejecutivos de 26 sectores de la industria.
El documento sugiere a las organizaciones desarrollar verdadera resiliencia y enfocarse en resolver y mitigar los riesgos cibernéticos emergentes en un entorno desafiante y cambiante de tecnología nueva y amenazas, puesto que, a medida que la tecnología se expanda, la gestión del riesgo cibernético se convertirá en la prioridad número uno.
Por otro lado, el estudio cita que la conectividad ubicua a internet, las cantidades masivas de datos digitales, las capacidades analíticas avanzadas y las tecnologías disruptivas continúan cambiando radicalmente la forma en la que se realizan las actividades comerciales a escala mundial. Y advierte: a medida que las tecnologías digitales modelan la operación de los modelos de negocios y la tasa de cambio no disminuye, la transformación tecnológica implica que todas las organizaciones son cada vez más vulnerables ante las amenazas cibernéticas, y un solo incidente puede infligir daños graves.
La ubicuidad de la amenaza cibernética ha llevado a una resignada actitud, común entre los profesionales cibernéticos: no se trata ya de si los sistemas de su organización serán violados o no, sino cuándo. En la encuesta de Marsh y Microsoft sobre la percepción del riesgo cibernético, casi 20 por ciento de los encuestados dijo que en los últimos 12 meses su empresa ha sido víctima de un ciberataque que llegó a completarse. La investigación también refiere que, según un estudio reciente, 85 por ciento de los ejecutivos informó de al menos un incidente cibernético en el mismo plazo.
Explica el estudio que un incidente cibernético que logra materializarse tiene el potencial de interrumpir las cadenas de suministro, cerrar las operaciones principales y causar otras pérdidas, con lo cual el impacto financiero puede ser cuantioso. Entre las empresas con más de 1,000 millones de dólares en ingresos, más de 40 por ciento de los encuestados estimó que su peor afectación financiera excedería los 50 millones de dólares.
Dada la escalada de los eventos cibernéticos y sus costos, resulta comprensible que casi dos tercios de los encuestados hayan declarado que el riesgo cibernético se encuentra entre las cinco tareas más importantes de gestión de riesgos de su organización, esto es, aproximadamente el doble del porcentaje obtenido en una encuesta realizada por Marsh en 2016.