Ante la intensificación de los ciberataques como el ransomware, las empresas han incrementado su inversión en ciberseguridad. No obstante, la proliferación de las amenazas hace que este impulso siga sin ser suficiente para hacerles frente.
Tal y como se desprende de un encuesta de PwC, las amenazas de ciberseguridad son la principal preocupación de los responsables directivos estadounidenses, y la segunda de estos ejecutivos a nivel mundial. No en vano, el 64% espera un aumento de los incidentes de seguridad TI, especialmente de ransomware, y solo el 55% considera que está preparado para hacerles frente.
Pero no solo muestran su preocupación, también están tomando cartas en el asunto incrementando la inversión que realizan en ciberseguridad. Así, el 57% de los encuestados señala que, de cara al próximo año, prevé realizar «inversiones significativas» en tecnología, el 52% en personas y el 50% en gobernanza y procesos.
Las transformaciones de la ciberseguridad están rezagadas respecto a la digitalización
Por el contrario, el 22% apunta que ya está haciendo las inversiones «adecuadas» en tecnología, el 28% en gobernanza y procesos y el 27% en personas. Se trata de algo que, como apunta el informe, hay que mejorar ya que las transformaciones de la ciberseguridad están rezagadas con respecto a la digitalización o simplemente siguen el ritmo de la mayoría (63%) de las empresas.
Las inversiones, la atención del CEO y de la junta directiva y los CISO con visión de futuro hacen que la organización esté lista para el ciberespacio. Según el informe de PwC, las organizaciones deben poder decir que han asegurado la infraestructura de su organización y que «cuando ocurre la infracción inevitable, sus partes interesadas pueden confiar en que su organización responderá rápidamente y protegerá sus intereses».
Mantenerse actualizado ya no es suficiente y tampoco sirve adoptar una postura en la que se crea que los incidentes son inevitables. Y es que un 64% de los encuestados espera un aumento en los incidentes de ransomware y cadena de suministro de software en la segunda mitad de 2021.
Al menos la mitad de las organizaciones encuestadas reconocen haber experimentado ataques de malware a través de actualizaciones de software (54%), ataques a la cadena de suministro de software (51%) y compromiso del correo electrónico empresarial (50%).
En este sentido, hay que destacar que, a pesar de que las organizaciones se han apresurado en el último año a adaptarse a los cambios que se requerían como consecuencia de la pandemia, con una clara apuesta por el trabajo remoto, parece que se han olvidado de la ciberseguridad. De acuerdo con el informe de PwC, al menos la mitad de los CISO y CIO apuntan que no han no han mitigado por completo los riesgos asociados con el trabajo remoto (50%), la digitalización (53%) o la adopción de la nube (54%).
Solo el 55% de las víctima de ciberataques reconocen estar «bien preparados» para abordar infracciones
Solo el 55% de los encuestados que han sido víctima de ciberataques reconocieron estar «bien preparados» para abordar las infracciones. No obstante, los CEO y CISO creen que el ransomware es donde se producirá el mayor salto en los incidentes ya que las demandas y los pagos están aumentando. En Estados Unidos, Canadá y Europa, el pago de rescate más alto se duplicó hasta los 10 millones de dólares en 2020, un récord que superó en marzo de 2021 con el pago de un rescate de 40 millones de dólares.
Se espera que las tecnologías móviles, de IoT y la nube sean los vectores de amenazas de más rápido crecimiento. Alrededor del 29% de los CISO y CIO señalan que esperan un aumento de los ataques coordinados y organizados de los estados-nación este año.
Pero el estudio de PwC también deja algunos aspectos positivos, como que cada vez más empresas están dando «pasos críticos» para preparar a sus organizaciones para escenarios futuros. Además, los CISO y CIO de todas las industrias están dando prioridad a la seguridad en la nube para las inversiones en ciberseguridad de cara a los próximos dos años.
Aproximadamente la mitad de las organizaciones encuestadas también han reestructurado sus equipos de seguridad y los han integrado en el desarrollo de productos y en los equipos de negocio, y otro 44% señala que planea hacerlo a lo largo de este año y el próximo.
Ante esta coyuntura, PwC recomienda que las organizaciones mejoren sus capacidades de modelado de amenazas, y no centrarse solo en métodos de ataque conocidos. La firma también recomienda que las organizaciones evalúen sus riesgos de manera temprana y frecuente, así como revisar cómo presupuestan y modernizan su proceso presupuestario.
Imagen inicial | Dan Nelson