Un estudio de PwC muestra que la mayoría de los consejos de administración no están tomando acciones tangibles para dar forma a las estrategias de seguridad o los planes de inversión de sus empresas. A pesar de toda la atención que los hackeos masivos y otras brechas han atraído en los últimos años, las organizaciones en todas partes todavía luchan por comprender la magnitud y gestionar los riesgos cibernéticos emergentes.

De los más de 9,500 ejecutivos de alto nivel en 122 países que participaron en la Encuesta Global del Estado de la Seguridad de la Información (GSISS) 2018 de PricewaterhouseCoopers, solo el 39% dice tener mucha confianza en sus capacidades de atribución, es decir, su capacidad para detectar y rastrear ciberataques.

Como se destaca en el informe GSISS, la infraestructura de Estados Unidos todavía es susceptible a lo que el Foro Económico Mundial (WEF) considera en su Informe Global de Riesgos 2017 como el principal riesgo empresarial en América del Norte: “ataques cibernéticos a gran escala o malware que causen grandes daños económicos, tensiones geopolíticas o pérdida generalizada de confianza en Internet”.

“Todas las organizaciones, sin importar cuán preparadas crean estar, necesitan verificar si se están ejecutando los objetivos estratégicos de ciberseguridad”, dijo Grant Waterfall, socio de PwC y líder global de su práctica de ciberseguridad y privacidad, en una entrevista. “El Índice Global de Ciberseguridad de la ONU 2017 clasifica a Estados Unidos como uno de los estados miembros más comprometidos con la ciberseguridad, solo por detrás de Singapur. Y sin embargo, el Consejo Asesor de Infraestructura Nacional de la Casa Blanca escribió en un informe de agosto de 2017 que muchas empresas de infraestructura de Estados Unidos no están practicando una higiene básica de ciberseguridad a pesar de la disponibilidad de herramientas y prácticas efectivas”, agregó.

¿Dónde están los CISOs? El 40% de los encuestados de GSISS dicen que la interrupción de sus operaciones es la mayor consecuencia potencial de un ciberataque. Otro 39% menciona la comprometida de datos sensibles, el 32% menciona el daño a la calidad del producto, el 29% menciona el daño a la propiedad física y el 22% menciona el daño a la vida humana como los mayores resultados de un ataque.

Mientras tanto, los ejecutivos de ciberseguridad están ausentes o escasos en muchas organizaciones. Solo alrededor de la mitad (52%) de los encuestados dicen que sus organizaciones tienen un CISO en la nómina. Mientras que el 45% dice que emplean a un jefe de seguridad, otro 47% dice que reclutan personal de seguridad dedicado para apoyar las operaciones internas del negocio.

“La gestión del riesgo cibernético es un viaje, y muchas organizaciones no han avanzado lo suficiente en ese viaje como para darse cuenta de la necesidad de una supervisión de alto nivel dedicada a estos problemas”, dijo Waterfall. “Además, en algunos casos es una cuestión de recursos. Muchas pequeñas y medianas empresas, incluidas las empresas de infraestructura crítica, carecen de los recursos de las organizaciones más grandes. Y los recursos de ciberseguridad son escasos”.

Artículo basado en: DARKReading