Empresas globales carecen de un plan de gestión de riesgos en la nube: PwC
Los hackeos y las fugas de información, así como las vulnerabilidades relacionadas con el cloud computing, ocupan los primeros lugares dentro de las ciberamenazas potenciales para las compañías.
La seguridad en la nube representa nuevos desafíos para las organizaciones para delimitar la responsabilidad compartida con proveedores y hacer una buena gestión de los riesgos de esta tecnología. La encuesta Digital Trust Insights 2024 de PwC revela que aunque los ataques a esta red de servidores son la principal preocupación cibernética, alrededor de un tercio de las empresas a nivel global no cuenta con un plan de administración de riesgos para abordar los retos de los proveedores de servicios de cloud computing.
Esta investigación —realizada en México y a nivel mundial a la alta dirección de industrias como la manufacturera, tecnología, retail y consumo, servicios financieros, energía, salud, entre otros— indica que los hackeos y las fugas de información, así como las vulnerabilidades relacionadas a la nube, ocupan los primeros lugares dentro de las ciberamenazas potenciales.
“Las empresas en México y el mundo buscan innovar y transformar sus modelos de negocio para permanecer relevantes en un panorama de negocios cada vez más digital. Si bien, tecnologías como el cómputo en la nube representan un motor de crecimiento, también imponen un riesgo y aumento de vulnerabilidades cibernéticas importantes, como lo destaca más de la mitad de los encuestados”, señala PwC.
El estudio señala que la rápida implementación de la nube ha provocado la migración de información que solía residir en infraestructuras locales (on premise) hacia servicios de almacenamiento en la nube. El 47 % de los ejecutivos mexicanos destacó que su empresa utiliza más de un proveedor de nube (privada y pública, es decir, híbrida).
Además, desglosa que casi la mitad de los ejecutivos mexicanos (49 %) aborda los retos con sus proveedores de nube al implementar y actualizar un plan de recuperación ante desastres; 43 % al administrar la detección y registro de amenazas, y 41 % al negociar los contratos con sus proveedores de servicios de cloud computing.
La consultora indica que es importante tomar en consideración que los riesgos cibernéticos están relacionados entre ellos mismos; por ejemplo, lo que podría comenzar como una filtración en la nube puede desencadenarse en otros ciberataques, como ransomware.
“La implementación de nuevas tecnologías sin un abordaje centrado en la ciberseguridad podría generar más costo que los beneficios relacionados a dicha inversión”, apunta PwC.
Respecto al tema de la inteligencia artificial (IA) generativa, el estudio arroja que casi siete de cada 10 ejecutivos encuestados a nivel global utilizarán esta tecnología para ciberdefensa. Estas herramientas pueden ayudar a disminuir una desventaja para los equipos de ciberseguridad abrumados por el creciente número y una mayor complejidad de ciberataques.
PwC señala que asegurar la nube y el software de cadena de suministro requiere de actualizaciones constantes en las políticas y controles de seguridad, lo cual es una tarea abrumadora. Por lo que, los algoritmos de aprendizaje automático (machine learning) y herramientas de IA generativa podrían recomendar, validar y elaborar políticas de seguridad y automatizar controles que se apeguen al perfil de amenaza de la organización, sus tecnologías y objetivos de negocio.
“La IA generativa también puede simplificar el reporte de ciberriesgos e incidentes. Con la ayuda de procesamiento de lenguaje natural (natural language processing o NLP), la IA generativa puede convertir los datos técnicos en contenido conciso que las personas que no son técnicas puedan entender”, señala el informe.
La investigación indica que las empresas que administran sus riesgos de ciberseguridad y privacidad de la información de forma más adecuada son las que asignan un presupuesto a inversiones que garanticen la protección de sus activos digitales. Al respecto, 32 % de los encuestados en México señaló que, usualmente, es decir, entre 81-100 % del tiempo, la organización asigna un presupuesto cibernético con base en sus principales riesgos, mientras que un 38 % lo hace de manera frecuente, entre 61-80% del tiempo.
A nivel global, el análisis destaca que 179 empresas están poniendo a la seguridad en el epicentro de la innovación; este 5%, a quienes PwC denomina los guardianes de la confianza digital, cosechan beneficios que otros se están perdiendo. Ejemplificó que las compañías están experimentando menos brechas y los ataques que los afectan no son tan costosos.
“Además, gestionan los riesgos de mejor manera porque optimizaron sus soluciones de seguridad y se han posicionado para tener una mayor productividad y un crecimiento más rápido, superando a la competencia mientras implementan nuevas tecnologías con la confianza de estar protegidos”, precisa PwC.
Sin embargo, las compañías globales también tienen pérdidas, pues el porcentaje de organizaciones que informaron costos de un millón de dólares o más por su peor brecha en los últimos tres años aumentó nueve puntos porcentuales respecto a los resultados de la encuesta del año pasado (27% vs. 36%).
PwC aconseja priorizar un enfoque estratégico en lugar de uno meramente operativo en los departamentos de seguridad tecnológica. Centrarse en la operación puede producir una falta de visión a largo plazo y respuestas reactivas ante las amenazas cibernéticas. En cambio, dice que si se adopta una perspectiva estratégica permite a las organizaciones anticipar, prevenir y abordar de manera proactiva los desafíos de seguridad, mejorando la administración de riesgos y la capacidad de respuesta efectiva frente a las amenazas presentes y futuras en el ámbito cibernético.
Para el estudio se entrevistaron a 3 mil 876 ejecutivos de negocios y tecnología en las empresas más grandes del mundo —30 % de los encuestados que tiene ingresos de 10 mil millones de dólares o más muestra un margen considerable para mejorar la ciberseguridad. En México, se encuestaron a 133 ejecutivos pertenecientes a las áreas de tecnología, información, finanzas, seguridad de la información, así como directores generales.