Las inversiones cibernéticas están creciendo, pero no lo suficiente


El 64% de los que respondieron a la última encuesta a directores ejecutivos de PwC esperan un aumento en los incidentes de la cadena de suministro de application y ransomware notificables este año, y solo el 55% está preparado para responder.

cybersecurity.jpg

Imagen: Teera Konakan / Moment / Getty Images

Las amenazas cibernéticas, especialmente el ransomware, son ahora la principal preocupación de los directores ejecutivos en los EE. UU. Y la segunda a nivel mundial, según 24a encuesta anual de directores ejecutivos de PwC. Los directores ejecutivos están haciendo más que preocuparse: están poniendo su dinero donde están sus bocas, según la encuesta.

En el próximo año, el 57% de los encuestados hará «inversiones significativas» en tecnología, el 52% en personas y el 50% en gobernanza y procesos. Por el contrario, el 22% está haciendo inversiones «adecuadas» en tecnología, el 28% en gobernanza y procesos y el 27% en personas, según el informe.

VER:

Estudio de ciberseguridad: el ataque de SolarWinds costó a las empresas afectadas un promedio de $ 12 millones

(TechRepublic)

Esto no es adecuado, dijo el informe de PwC. «Las transformaciones de la seguridad cibernética están rezagadas con respecto a la digitalización o simplemente siguen el ritmo de la mayoría (63%) de las empresas. Ninguna de las dos es suficientemente buena, no en un momento en que los éxitos son rápidos y fuertes y no muestran signos de detenerse», dijo el informe.

Lo que significa estar preparado para el ciberespacio

Las inversiones, la atención del CEO y de la junta directiva y los CISO con visión de futuro hacen que la organización esté lista para el ciberespacio, según el informe. Las organizaciones deben poder decir dos cosas: que han asegurado la infraestructura de su organización y que «cuando ocurre la infracción inescapable, sus partes interesadas pueden confiar en que su organización responderá rápidamente y protegerá sus intereses».

Mantenerse «al día» con las transformaciones comerciales no es suficiente para lograr ese compromiso, según el informe.

Los directores ejecutivos creen que los incidentes son inevitables

La encuesta reveló que el 64% de los encuestados espera un aumento en los incidentes notificables de ransomware y cadena de suministro de software en la segunda mitad de 2021.

«A medida que las empresas se apresuraron a adaptarse a los cambios en el trabajo y los modelos comerciales inspirados por la pandemia, muchas parecen haber dejado atrás la seguridad», indica el informe. «La mitad o más de los CISO y CIO de nuestra encuesta dicen que no han mitigado por completo los riesgos asociados con el trabajo remoto (50%), la digitalización (53%) o la adopción de la nube (54%).

Al menos la mitad de las organizaciones encuestadas informaron haber sido atacadas por malware a través de actualizaciones de computer software (54%), ataques a la cadena de suministro de software package (51%) y compromiso del correo electrónico empresarial (50%).

Solo el 55% de los encuestados o menos de las víctimas dijeron que estaban «bien preparados» para abordar las infracciones.

«La cadena de suministro de software program ahora está atrayendo la atención del director ejecutivo y de la junta», se lee en el informe. «Las empresas funcionan con código desarrollado internamente, tomado de código abierto y / o comprado a proveedores de tecnología, en un ecosistema que se basa en la confianza».

Los CEO y CISO creen que el ransomware es donde verán el mayor salto en los incidentes notificables. Las demandas y los pagos de ransomware están aumentando, reveló la encuesta. En los EE. UU., Canadá y Europa, el pago de rescate más alto se duplicó a $ 10 millones en 2020, un récord que se derribó en marzo de 2021 con la noticia de un pago de $ 40 millones, según el informe.

Lo que viene

Se espera que las tecnologías móviles, de IoT y la nube sean los vectores de amenazas de más rápido crecimiento. Alrededor del 29% de los CISO y CIO dijeron que esperan que aumenten los ataques coordinados y organizados de los estados-nación este año, según el informe.

Los ciberdelincuentes superan a los estados-nación como los principales actores de amenazas entre el 31% de los encuestados, según el informe.

Hay algunas buenas noticias: PwC dijo que más empresas están tomando «pasos críticos» que nunca para preparar a sus organizaciones de seguridad para escenarios futuros.

Además, el 81% de los encuestados que cuantifican el riesgo cibernético dijo que ayudó a aumentar la productividad y a centrarse en asuntos estratégicos. La cuantificación es útil para priorizar los riesgos y defender ante la junta directiva el gasto cibernético, y obtuvo calificaciones especialmente altas en los sectores de energía, servicios públicos y recursos y minorista / consumo.

Además, los CISO y CIO de todas las industrias están dando prioridad a la seguridad en la nube para las inversiones cibernéticas durante los próximos dos años, según el informe.

Aproximadamente la mitad de las organizaciones encuestadas también han reestructurado sus equipos de seguridad y los han integrado en el desarrollo de productos y en los equipos comerciales, según la encuesta de PwC. Otro 44% dijo que planea hacerlo este año y el próximo.

«Los CISO exitosos ahora actúan como facilitadores de negocios», decía el informe. «Ya no dicen &#39No podemos hacerlo&#39, sino que se preguntan, &#39¿Cómo podemos hacerlo?&#39».

Que deben hacer las organizaciones

PwC recomienda que las organizaciones mejoren sus capacidades de modelado de amenazas. «El modelado de amenazas de efecto no ocurre solo una vez, y no debería enfocarse solo en métodos de ataque conocidos», dijo el informe. Requiere «creatividad e imaginación».

La firma también recomienda que las organizaciones evalúen sus riesgos cibernéticos de manera temprana y frecuente. También deberían trabajar en su handbook de estrategias de resiliencia con las unidades de negocio, los desarrolladores y los gestores de riesgos.

Además, las organizaciones deben revisar cómo presupuestan y modernizar su proceso presupuestario. «Cyber ​​finalmente está obteniendo lo que se merece. Las empresas están invirtiendo más y la alta gerencia está prestando atención. Pero las expectativas, y el potencial de decepción, son altas».

Otra conclusión importante es «hacer de su negocio desmitificar el ciberespacio. Ayude a quienes le rodean a convertirse en conocedores del ciberespacio». Esto incluye hablar el idioma de la empresa y encontrar formas creativas de explicar problemas cibernéticos complejos, según el informe.

Ver también



Enlace a la noticia authentic