A más de un año del inicio de la pandemia de covid 19, las empresas en México y el mundo tuvieron que adaptarse a una nueva normalidad digital: desde permitir el trabajo remoto hasta transformar su modelo de negocio, ponderando el comercio electrónico.
De acuerdo con la Encuesta sobre el Impacto Económico Generado por covid 19 en las Empresas (Ecovid-IE) del Inegi, el 30 por ciento de las organizaciones grandes adoptará permanentemente el trabajo desde casa y una cuarta parte de los encuestados indicó que continuará operando sus ventas por Internet.
Los siguientes años serán decisivos para las organizaciones en su forma de crecer, adaptarse a nuevas formas de trabajar, así como de nuevos modelos operativos. Sin embargo, si los principales ejecutivos y/o los miembros de la junta directiva no incluyen la ciberseguridad y privacidad en el centro de cada decisión podrían generar riesgos no previstos.
Pongamos un ejemplo hipotético: en una reunión de junta directiva de una empresa de bienes de consumo, los miembros deciden votar por adquirir una start-up que aumentará sus capacidades tecnológicas en transacciones de pago. No obstante, esa empresa sufre constantemente de brechas de seguridad y hackeos por parte de criminales.
La junta no ha conectado la estrategia de negocio con la de ciberseguridad. Es en este panorama, donde el Chief Information Security Officer (CISO) o el Chief Information Officer (CIO) deben incidir para atender las implicaciones y complejidad de la seguridad y de las decisiones de negocio.
En la gran mayoría de los casos la complejidad abruma tanto a la alta gerencia por considerar a la ciberseguridad como algo técnico, y al CISO o CIO por pasar por alto las estrategias corporativas.
El estudio de PwC, Digital Trust Insights 2022 revela que siete de cada 10 empresas mexicanas considera a la gobernanza de proyectos, implementaciones e inversiones tecnológicas con un nivel de complejidad alto que podría ser evitable e innecesario.
Los líderes que inciden y se involucran en la ciberseguridad tienen que adoptar la simplicidad para garantizar que toda la empresa sea segura, sin olvidar que los ciber riesgos pueden surgir de diferentes áreas como los modelos de negocio, socios externos o de sistemas internos.
Hay que considerar que, ante una mayor complejidad, aumentan también los riesgos y costos cibernéticos. El número de incidencias cibernéticas va en aumento, nuestros resultados apuntan que en los próximos 12 meses las empresas prevén ataques de malware, software de la cadena de suministro y en los servicios de la nube.
Además, los encuestados indicaron que las consecuencias más importantes de una mayor complejidad de sus negocios son la incapacidad para innovar tan rápidamente como se presentan las oportunidades en el mercado, pérdidas financieras debido a violaciones de datos o ciberataques y la falta de resiliencia operativa ante ciberataques o fallas tecnológicas.
Hoy más que nunca, la figura del CISO y el CIO deben diseñar una estrategia de ciberseguridad encaminada a restar, pues la tecnología y los datos tienden a multiplicarse o dividirse, lo que podría reducir la eficiencia y seguridad en la organización.
La simplificación de la ciberseguridad conlleva evaluar los almacenes de datos y eliminar todo lo que no es necesario. Además, se debe consolidar, liquidar y automatizar lo más posible. Por ejemplo, mover las aplicaciones a un entorno de nube para una gestión más sencilla y eficiente.
Las empresas que se enfocan en la simplificación de su ciberseguridad y privacidad podrían estar mejor preparadas para un entorno de ciberamenazas en aumento.
Fernando Román y Juan Carlos Carrillo
Fernando Román es Socio líder de Cybersecurity, Privacy & Forensics Services y Juan Carlos Carrillo es director de Cybersecurity, Privacy & Forensic Services, ambos en PwC México
