Las grandes empresas consideran cada vez más la ciberseguridad como el riesgo n° 1, y con razón. Incluso antes de que la invasión rusa a Ucrania intensificara la amenaza que suponen los hackers, la ciberdelincuencia estaba costando al mundo unos 6 billones de dólares anuales, según Cybersecurity Ventures, a través de acciones malignas como los ataques de ransomware, la destrucción de datos, la malversación y el robo de propiedad intelectual.
Bajo ese escenario, Bain & Company realizó una investigación para saber cómo las empresas regulan su seguridad. Según el estudio, muchas compañías admitieron que no están preparadas para contener esta creciente amenaza. Es más, sólo el 43% de los ejecutivos considera que su empresa contaba con mejores prácticas de ciberseguridad.
Sin embargo, incluso esa cifra parece una sobreestimación. Un análisis más profundo de la muestra de la encuesta de Bain, mostró que sólo alrededor del 24% cumplía realmente el umbral de las mejores prácticas. En una escala de madurez de la ciberseguridad del 1 al 5, una empresa típica es probable que califique sólo de 1,5 a 2,5: demasiado bajo.
Así, una respuesta verdaderamente estratégica a los peligros actuales requerirá mucho más que una alineación táctica con las normas del sector. En los próximos meses, las empresas más resistentes también construirán y perfeccionarán las capacidades necesarias para seguir mejorando sus defensas.
Cómo ir más allá de lo básico
Los marcos de la industria, como el NIST y la ISO 27002, son un elemento esencial de la ciberseguridad, pero para protegerse plenamente en medio de esta inestabilidad global, las compañías deben ir más allá de la aplicación de las mejores prácticas consagradas en estos marcos.
Muchas empresas líderes están buscando una mayor resistencia a largo plazo, centrándose también en la creación de capacidades estratégicas de ciberseguridad.
Para abordar con éxito esta área de riesgo, Bain & Company reveló que es necesario que las empresas identifiquen y clasifiquen a terceros en función del riesgo que plantean y del impacto probable (tanto directo como relacionado con la cadena de suministro); evaluar a los intermediarios tanto en el momento de su selección como de forma continuada, con equipos internos o a través de un nuevo tipo de servicio externo de evaluación de riesgos; y reducir el riesgo a un nivel aceptable mediante medidas tales como estipulaciones contractuales, controles adicionales y la diversificación de la cadena de suministro para impulsar la continuidad.
El esfuerzo y la inversión son necesarios para persuadir a los proveedores que mejoren su ciberseguridad también pueden generar beneficios más amplios. Por lo que ir más allá de lo básico es esencial si las organizaciones quieren protegerse en tiempos hiperconectados e inestables.