Hay una dinámica simple pero poderosa que impulsa el ciberriesgo para la mayoría de las organizaciones de servicios financieros hoy en día, y es que cuanto más invierten en infraestructura y/o herramientas digitales, más se exponen a los ataques. La transformación digital llevó a muchas organizaciones a un cambio tecnológico, y esto supone un reto para los CISO del sector.
Este reto se articula a menudo en términos de superficie de ataque digital, es decir, el conjunto de aplicaciones, sitios web, infraestructura en la nube, servidores locales, tecnología operativa (OT) y otros elementos que a menudo están expuestos a los actores de amenazas remotas. Los riesgos asociados a los ataques pueden mitigarse si las instituciones financieras tienen visibilidad de todos estos activos, calculan su exposición al riesgo con precisión y después adoptan medidas para proteger la superficie de ataque. Sin embargo, muchas tienen dificultades para hacerlo.
Puesto que los mayores presupuestos no se traducen necesariamente en mejores resultados si no se centran en las áreas adecuadas. Es por esto, que las organizaciones necesitan un consejo de administración comprometido y consciente de la importancia de la gestión de los ciberriesgos para poder lograr el éxito empresarial estratégico.
De acuerdo con un estudio desarrollado por Trend Micro para Sapio Research, reveló que el 75% de los responsables de TI y de las empresas de servicios financieros encuestadas están preocupados por el tamaño de su superficie de ataque digital. Más de un tercio (36%) dice estar «muy preocupado». Pero aún hay más: la mitad (49%) va más allá y afirma que la superficie de ataque se está descontrolando.
Gestionar el riesgo: el problema
El objetivo de obtener visibilidad y control de la superficie de ataque digital es, en última instancia, comprender y gestionar mejor el ciberriesgo. Sin embargo, más de la mitad (56%) de las empresas de servicios financieros con las que hemos hablado admiten que su método para evaluar la exposición al riesgo no es lo suficientemente sofisticado. Solo la mitad (53%) afirma tener un proceso completamente definido para ello.
Parte de esto se debe probablemente a la falta de inversión en las herramientas adecuadas. Sin embargo, la estrategia y el proceso también son importantes. Dado el ritmo de la innovación TI, la tasa de inversión digital y la velocidad a la que evoluciona el panorama de las amenazas, las evaluaciones periódicas son claves para tener una visibilidad completa y un mejor control de la superficie de ataque.
Un debate más honesto
Es hora de reconocer que lo cibernético es una parte importante del riesgo empresarial. Si la seguridad no se integra eficazmente pueden producirse incidentes que afecten a la confianza de los clientes y el uso de la aplicación. Por ende, si los clientes tienen demasiado miedo de utilizarla, un proyecto digital de muchos millones puede acabar en la basura.
Los consejos de administración deberían plantear las preguntas adecuadas a sus responsables de seguridad TI en todas y cada una de las reuniones, con el fin de planificar las amenazas que se avecinan. Gastar de manera posterior suele ser ineficaz y puede llevar a que el departamento de TI se vea obligado a gestionar un número creciente de productos muy específicos sin ninguna conexión entre ellos, dejando muchas brechas para que los actores de amenazas puedan explotarlas.
Entonces, ¿cómo podemos acercar a los responsables de la toma de decisiones de TI y de la empresa? Hacer que el CISO dependa del CEO ayudará a mejorar la comunicación del ciberriesgo en la cúpula de la organización. Y formalizar la función de seguridad con documentación, indicadores clave de rendimiento y métricas establecidas ayudará a los responsables de TI a articular el ciberriesgo en términos de un panorama más amplio del riesgo empresarial.
Por lo que se podría concluir que sólo cuando se logra involucrar a toda la organización en lo que a ciberseguridad respecta podremos hablar de una cultura de seguridad diseñada para impulsar y promover el éxito empresarial.
