Los constantes riesgos de seguridad digital provocan ‘cibercansancio’ a las empresas

Las medidas de seguridad que deben adoptar las empresas son mucho más exigentes y los peligros que genera la digitalización, mucho mayores

En lo últimos años, los ciberataques se han incrementado notablemente. Algunas de las empresas más grandes del mundo han sufrido brechas en sus sistemas de ciberseguridad que han puesto en peligro los datos de centenares de millones de consumidores o usuarios. El ritmo al que evoluciona la tecnología y el hecho de que las empresas están más conectadas que nunca con otras organizaciones han puesto en especial alerta a los responsables de tecnologías de la información, que, a su vez, han incrementado la presión sobre los órganos de gobierno de las empresas. En este sentido, un informe reciente de KPMG señala que las empresas empiezan a mostrar síntomas de ‘ciberfatiga’, es decir, cansancio ante la alarma constante que implican estos nuevos riesgos, que requieren una revisión continua de presupuestos, tecnologías y potenciales amenazas.

Algunos de los signos más comunes de que la empresa está experimentando este cansancio, de acuerdo al citado informe, son un incremento anual global en el presupuesto dedicado a ciberseguridad cercano a los dos dígitos en los últimos cinco años, largas sesiones de los órganos de dirección dedicadas a hablar y analizar riesgos cibernéticos y una adición sostenida de nuevas tecnologías relacionadas con la protección ante ciberataques sin retirar ninguna de las previas.

Ante esto, los expertos en Ciberseguridad de KPMG proponen adoptar un plan integral que evalúe el riesgo de la empresa en su totalidad, distribuya los recursos en función de este análisis y se alinee, a su vez, con las prioridades de negocio. Tal y como expone Marc Martínez, socio responsable de Ciberseguridad de KPMG en España, “un enfoque holístico permite gestionar estos riesgos de manera más inteligente y eficiente, puesto que permite a las empresas equilibrar la aceptación, la mitigación y la transferencia de riesgos a la par que se incrementan la protección de la marca y la reputación”.

Los cinco pasos para combatir la ciberfatiga que sugiere KPMG son los siguientes. En primer lugar, es importante realizar inversiones medibles en capacidades basadas en los riesgos. Para ello, es necesario cuantificar el riesgo y analizarlo en relación a los objetivos de negocio. Asimismo, es importante vincular la toma de decisiones a la cantidad de riesgo que la empresa está dispuesta a asumir, e implementar programas que se adecuen a esas conclusiones. “Una empresa que está adquiriendo otras, por ejemplo, necesita modelos rápidamente expandibles, incluyendo sus capacidades de ciberseguridad, mientras que otra que esté desinvirtiendo, probablemente deberá centrarse en proteger información sensible”, señala Marc Martínez.

Además, es necesario controlar regularmente la efectividad de las inversiones en seguridad, puesto que muchas empresas todavía no miden el total de lo que invierten en protegerse ante ciberataques (‘software’, ‘hardware’, ‘hosting’, cumplimiento regulatorio, formación…) y, por tanto, no pueden desarrollar un modelo que mitigue el riesgo y, a la vez, optimice la inversión. Junto a esto, es importante alinear toda la estrategia de gestión de riesgos de la empresa en un modelo de ciberseguridad completo y adecuado.

“No hay que olvidar que los ciberataques son difíciles de prever por naturaleza y plantean un desafío constante que requiere vigilancia continua”, subraya Marc Martínez. No obstante, igual que el fraude, se puede afrontar y gestionar. “Pero hay que evitar las actitudes reactivas y asumir que es un asunto fundamental de negocio que requiere inversión estable”, agrega.

“El enfoque no tiene que ser el de gastar en tecnología, sino el de impulsar la innovación para que la empresa siga creciendo con fluidez y adaptándose al cambio”, expone el responsable de Ciberseguridad de KPMG en España. Finalmente, y en la misma línea, es fundamental promover que la seguridad esté indexada a los riesgos. Esto implica centrarse en iniciativas de mitigación de riesgos y no tanto en proyectos de seguridad; y, a su vez, que estas respondan a riesgos que supongan una amenaza directa a los intereses de negocio

Fuente: El Confidencial

http://www.elconfidencial.com/tecnologia/2016-12-02/empresas-kmpg-ciberfatigadas_1298303/

Fecha: 2 de diciembre