5 minutos de lectura 23 jul 2020
Fotógrafo en la playa negra

COVID-19: Cómo se verá afectada la futura inversión en ciberseguridad

Autores
Carina Barrera Cota

Partner, EY Law Country Leader, EY México

Carina es socia y encabeza la práctica legal corporativa en EY México. Disfruta hacer ejercicio, meditar y pasar tiempo con su familia.

Erika Cardoso

Risk, Cibersecurity & Data Protection Associate Partner, EY Latin America

Erika es Associate Partner en la oficina de EY Ciudad de México, profesional con alto conocimiento en cumplimiento regulatorio, privacidad, riesgos, ciberseguridad y procesos.

5 minutos de lectura 23 jul 2020

La crisis de COVID-19 está elevando la importancia y el valor de los líderes y equipos de seguridad.

En resumen
  • La investigación de EY confirma que la crisis de COVID-19 causó una importante disrupción de las operaciones de seguridad diarias, en particular al permitir el trabajo a distancia.
  • El 79% de los encuestados dicen que sus presupuestos de seguridad cibernética se verán afectados por COVID-19 en los próximos seis meses, si no antes.
  • La gestión de la identidad y el acceso, así como la protección de los datos y la privacidad se consideran esferas prioritarias para el aumento de los gastos, y se está estudiando la posibilidad de recurrir a la contratación externa.

Las pandemias globales se producen con muy poca frecuencia, pero cuando lo hacen, el impacto que causan es invariablemente significativo, disrumpiendo las operaciones a corto plazo e influyendo también en el comportamiento de las empresas en los meses y años siguientes.

COVID-19 no ha sido una excepción. Las nuevas investigaciones de EY revelan que la pandemia ha causado una disrupción generalizada de las operaciones de seguridad cibernética y se espera que tenga un impacto significativo en las estrategias, inversiones y prioridades futuras.

El trabajo a distancia ha sido un problema particular, y los incidentes de phishing y otras amenazas van en aumento. Las grandes empresas han podido sobrellevar la tormenta más cómodamente que las empresas medianas, especialmente las de los Estados Unidos, y la mayoría de los directores técnicos de las empresas esperan que los presupuestos se vean afectados de una forma u otra a medida que se evalúe el impacto total del riesgo.

La privacidad de los datos sigue siendo un importante motivo de preocupación, no sólo en las empresas sino también entre los consumidores que desconfían de los gobiernos y las grandes empresas con sus datos personales.

La fricción y la desconexión ocasional entre los CTO y los CISO previamente identificados en el Estudio sobre la Seguridad de la Información Global de este año (febrero de 2020), y la necesidad de una colaboración mucho más estrecha con la Junta Directiva, se pone de relieve una vez más en este último informe. Los CTO parecen haberse visto más afectados por el brote de COVID-19 que los CISO, y estos últimos parecen tener menos preocupaciones presupuestarias para seguir adelante.

Es un cuadro mixto, pero en lo que la mayoría de los líderes parecen estar de acuerdo es en que las operaciones de seguridad cotidianas han sido disrumpidas, casi un tercio (29%) lo dice de manera significativa. El apoyo al trabajo a distancia fue el mayor desafío (71%), seguido de las restricciones presupuestarias (41%), la sobrecarga de la red (40%) y la reducción de los niveles de personal (37%).

COVID-19 disrumpió las operaciones de seguridad diarias

71%

de organizaciones indicaron que el apoyo al trabajo a distancia era el mayor desafío de seguridad.

El reto de obtener un apoyo externo fiable es interesante en el contexto de un nuevo informe de EY y la Asociación Internacional de Profesionales de la Privacidad (IAPP, por sus siglas en inglés) de mayo de 2020, que mostró que casi la mitad (45%) de todas las organizaciones han adoptado una nueva tecnología o han contratado a un nuevo proveedor para permitir el trabajo a distancia.

De los que citaron un aumento de las amenazas cibernéticas, la suplantación de identidad (phishing) (69%), los programas informáticos maliciosos (54%) y los programas informáticos de rescate (49%) fueron los primeros en preocuparse por las amenazas internas, los exploits de día cero y la denegación de servicio (DOS, por sus siglas en inglés).

El grado en que las empresas se han visto afectadas varía según el tamaño, la geografía y la industria. Las empresas medianas son las que más han notado el impacto, con mayores disrupciones de la red y del personal, y un número desproporcionadamente mayor de ciberataques. Las grandes empresas se han enfrentado a desafíos de trabajo a distancia pero, tal vez no sea sorprendente, han sido más resilientes a las ciberamenazas.

Los líderes de seguridad de la región de las Américas sintieron el impacto de la pandemia de COVID-19 de manera mucho más aguda que el resto del mundo (el 91% experimentó algún tipo de disrupción o significativa). Sin embargo, independientemente de su ubicación, todos comparten los desafíos que plantea el trabajo a distancia. Tal vez sea irónico que las empresas de tecnología se enfrentaron a muchas más amenazas cibernéticas que sus homólogas de los servicios financieros.

El cambio está ocurriendo, y con respecto a los presupuestos, se espera que el cambio se produzca rápidamente.

El cambio está ocurriendo, y con respecto a los presupuestos, se espera que el cambio se produzca rápidamente. Casi tres cuartas partes (79%) esperan que los presupuestos de ciberseguridad se vean afectados en los próximos seis meses, si no antes (el 21% cree que "inmediatamente"), aunque no todos piensan que se recortarán los presupuestos; algunos – de hecho, hasta un tercio (32%) – piensan que la inversión aumentará o, en el peor de los casos, se mantendrá igual (24%).

El impacto de COVID-19 en los presupuestos de ciberseguridad

79%

de las organizaciones esperan que los presupuestos de seguridad cibernética se vean afectados en los próximos seis meses, si no antes.

La gestión de la identidad y el acceso, y la protección de los datos y la privacidad se consideran esferas prioritarias para el aumento de los gastos, y se está estudiando la posibilidad de recurrir a la contratación externa, sobre todo en lo que respecta no sólo a la protección de los datos y la privacidad, sino también al riesgo, el cumplimiento y la resiliencia.

Alrededor del 55% de las empresas encuestadas están considerando (o considerarían) la posibilidad de subcontratar las operaciones de seguridad como parte de su estrategia de seguridad cibernética.

Las conclusiones tienden a ser coherentes en todas las geografías, sectores y funciones, aunque existe un sesgo dentro de las empresas más pequeñas para dar prioridad a las operaciones de seguridad y la arquitectura e ingeniería, y hay una marcada diferencia entre los CISO y los CTO en su actitud hacia la subcontratación de las operaciones de seguridad: 44% frente al 81%.

Los líderes de seguridad reconsideran su estrategia de subcontratación

55%

de las organizaciones indicaron que considerarían la posibilidad de subcontratar las operaciones de seguridad posteriores a la COVID-19.

Entonces, ¿hay cambios más duraderos o incluso permanentes en la estrategia y el enfoque previstos tras la pandemia de COVID-19? Ciertamente, los líderes de la seguridad esperan que su función sea aún más importante, ya que el 70% cree que habrá un mayor enfoque en la ciberseguridad a nivel de junta directiva/ejecutivo, especialmente en las pequeñas empresas, en América y en el sector financiero.

Se trata de un cambio notable con respecto a la Encuesta sobre Seguridad de la Información Global de 2020 anterior COVID-19, en la que se sugería que sólo el 43% de las juntas directivas consideraban valioso el equipo de seguridad cibernética, y que había una clara falta de representación de la seguridad cibernética en la mesa de la junta directiva.

Una gran mayoría (72%) – con un predominio particular de los CTO – espera que la privacidad aumente en valor e importancia con la introducción de mecanismos de vigilancia para rastrear y manejar el virus. En una encuesta conexa realizada por PSB Research entre 1.000 consumidores de los Estados Unidos (abril de 2020), los resultados sugieren que los consumidores son especialmente reacios a renunciar a su intimidad personal, independientemente de los desafíos que plantea la pandemia, y de igual modo no están convencidos de que ese compromiso sea por su propio bien. Más de tres cuartas partes (81%) están preocupadas por la privacidad de los datos personales y más de dos tercios (68%) de los encuestados en los Estados Unidos creen que su gobierno debería ser capaz de controlar el virus sin tener que sacrificar su privacidad.

Pocos encuestados confían en su empleador o en su gobierno con sus datos personales y esto representa un desafío importante.

A medida que las empresas empiezan a abordar nuevas oportunidades en el espacio de la privacidad, deben prepararse urgentemente para abordar la tensión entre privacidad y seguridad. Mientras que el 82% no tendría ningún problema en que su empleador comprobara su temperatura cada mañana, sólo el 11% les confiaría los datos relativos a su salud y sólo el 14% la información sobre dónde viven. Es una brecha que se necesitará un puente bien diseñado para cruzar.

A medida que emergemos lentamente en un mundo post-crisis, y una nueva normalidad, será interesante ver si las predicciones de los equipos de seguridad cibernética de un estatus elevado se hacen realidad y se insertan más allá del corto plazo. Esto aún no está claro. Lo que sí está claro, sin embargo, es que nunca ha habido un momento mejor para que los CTO y los CISO demuestren su valía y vean su merecido lugar en la mesa de honor.

  • Metodología de la encuesta

    La encuesta se realizó entre abril y mayo de 2020 y se basa en 150 respuestas de las regiones de América (66%), Asia y el Pacífico, Europa, el Oriente Medio, la India y África (34%). Los encuestados representaban una amplia gama de industrias, entre ellas la de tecnología (45%), servicios financieros (18%) y venta al por menor de productos de consumo y retail (15%), entre otras (22%). La encuesta recogió las opiniones de los directores de seguridad de la información (30%), los directores de información (34%), los directores de tecnología (17%) y otros responsables de la adopción de decisiones empresariales (19%) en funciones similares.

Liderar a través de la crisis de COVID-19

Tenemos una visión clara de las preguntas críticas y las nuevas respuestas necesarias para la continuidad del negocio y la resiliencia.

Explorar

Contáctanos para recibir apoyo inmediato

Accede a nuestra ayuda para la gestión de crisis, la continuidad del negocio y la resiliencia de la empresa.

 

Contáctanos

Resumen

Con la pandemia de COVID-19 que continúa desarrollándose en todo el mundo, los líderes de la seguridad están tratando de anticipar lo que vendrá después. Hemos encuestado a los directores de seguridad de la información que nos han dicho que esperan un cambio inminente en sus presupuestos, lo que repercutirá en sus estrategias, inversiones y prioridades futuras.

Acerca de este artículo

Autores
Carina Barrera Cota

Partner, EY Law Country Leader, EY México

Carina es socia y encabeza la práctica legal corporativa en EY México. Disfruta hacer ejercicio, meditar y pasar tiempo con su familia.

Erika Cardoso

Risk, Cibersecurity & Data Protection Associate Partner, EY Latin America

Erika es Associate Partner en la oficina de EY Ciudad de México, profesional con alto conocimiento en cumplimiento regulatorio, privacidad, riesgos, ciberseguridad y procesos.