1.000 directores ejecutivos (CEO) de grandes organizaciones a nivel mundial (con más de 1.000 millones de dólares de ingresos) en 19 sectores y 15 países, España incluido, han participado en una encuesta elaborada por Accenture con el fin de determinar el nivel de ciberresiliencia de sus organizaciones y su enfoque en las prácticas comerciales de ciberseguridad. Esta encuesta, llevada a cabo digitalmente en junio de 2023, es la base del último estudio de Accenture, titulado 'The Cyber-Resilient CEO'.
A nivel global, el 90% de los CEO afirma que considera la ciberseguridad como un factor diferenciador para sus productos o servicios que les ayuda a generar confianza entre los clientes. No obstante, solamente el 15% celebra reuniones específicas para discutir cuestiones de ciberseguridad, dato que cae a menos de la mitad (7%) en España. Según Accenture, esta desconexión podría deberse al hecho de que la gran mayoría de los CEO (91% a nivel global y 96% en España) piensa que la ciberseguridad es una función técnica que es responsabilidad del CIO o del director de seguridad de la información.
El 70% de los CEO españoles cuestionan la capacidad de sus organizaciones para protegerse contra los ciberataques
Atendiendo a los datos de España, la investigación señala que el 70% de los CEO de nuestro país están preocupados por la capacidad de sus organizaciones para prevenir o minimizar el daño ante un ciberataque, a pesar de que el 94% asegura que la ciberseguridad es fundamental para el crecimiento y la estabilidad organizativa de sus negocios.
El 63% de los CEO españoles también ha advertido que sus organizaciones no incorporan la ciberseguridad en las estrategias comerciales, servicios o productos desde el principio, y el 67% de ellos cree que la ciberseguridad requiere intervenciones ocasionales en lugar de una atención continua, una percepción menos extendida a nivel global, compartida por el 44% de media. Aparte de esta postura reactiva, el informe destaca la incorrecta suposición por parte de cerca del 80% de los directivos españoles de que el coste de implementar medidas de ciberseguridad es más alto que el de sufrir un ciberataque, un dato muy por encima del 54% de los CEO de todo el mundo. Además, la realidad demuestra lo contrario, tal y como resalta Accenture poniendo sobre la mesa que, por ejemplo, el hackeo de una empresa global del sector logístico supone una disminución del 20% en el volumen de negocios, con pérdidas de 300 millones de dólares.
La IA generativa plantea nuevos y exigentes retos
El informe ha puesto el foco en la inteligencia artificial degenerativa. Según Accenture, tiene el potencial de introducir un mayor nivel de amenazas de seguridad avanzadas, presentando nuevos desafíos que las mejores defensas cibernéticas pueden no abordar por completo. Casi dos tercios (64%) de los CEO encuestados afirmaron que los ciberdelincuentes podrían utilizar la inteligencia artificial generativa para crear ciberataques sofisticados y difíciles de detectar, como estafas de phishing, ataques de ingeniería social y hackeos automatizados.
"La aceleración de la inteligencia artificial generativa hace aún más esencial que las organizaciones tomen medidas para garantizar la seguridad de sus datos y activos digitales", avisa Agustín Muñoz-Grandes, responsable de Accenture Security en España y Portugal "Desafortunadamente, muchas empresas esperan a experimentar un incidente cibernético significativo para elevar la ciberseguridad a un nivel del consejo y de la alta dirección y ampliar las expectativas más allá de las funciones tecnológicas para proteger mejor sus organizaciones. Integrar el riesgo de la ciberseguridad en un marco de gestión de riesgos empresariales es la clave para garantizar una mejor seguridad, cumplimiento normativo, protección comercial y confianza del cliente", añade.
Solo el 5% de los CEO son ciberresilientes
En la investigación, Accenture ha identificado a los CEO que destacan en la 'ciberresiliencia', que solo representan el 5% de los encuestados. La consultora los denomina "CEO ciberresilientes" y explica que utilizan un enfoque más amplio para evaluar la ciberseguridad en todos los aspectos de sus organizaciones, permitiendo a éstas detectar, contener y remediar las ciberamenazas más rápido que otras organizaciones. Como consecuencia, los costes de brechas son considerablemente más bajos y el rendimiento financiero es significativamente mejor que el del resto, logrando de media un 16% más de crecimiento de ingresos, un 21% más de mejoras en la reducción de costes y un 19% de mejoras en el balance general.
Por otro lado, el estudio sitúa a los llamados "rezagados en ciberseguridad", que representan casi la mitad (46%) de los CEO, y son aquellos que no toman de manera consistente ni rigurosa alguna de las acciones que sí llevan a cabo de manera proactiva los CEO ciberresilientes. x
Cinco medidas clave que deben adoptar los CEO
El informe también señala las cinco acciones principales que los CEO ciberresilientes son mucho más propensos a tomar proactivamente y serían recomendables para todas las empresas:
- Integrar la ciberresiliencia en la estrategia comercial desde el principio. Los CEO ciberresilientes son casi el doble de propensos a gestionar el rendimiento cibernético de la misma manera en que gestionan el rendimiento financiero (60% frente a 33%).
- Establecer una responsabilidad compartida en ciberseguridad en toda la organización. Los CEO ciberresilientes son mucho más propensos a adoptar una responsabilidad compartida en toda la alta dirección, inspirando a los ejecutivos a promover la ciberseguridad como un diferenciador competitivo que acelera la innovación de manera segura (68% frente a 37%) y trabajar en estrecha colaboración con sus directores de Seguridad de la Información (CISO) para evaluar y gestionar los riesgos de la inteligencia artificial generativa, asegurando que la tecnología se utilice de manera segura y efectiva (54% frente a 33%).
- Asegurar el núcleo digital en el corazón de la organización. Los CEO ciberresilientes son más de dos veces más propensos a afirmar que planean aumentar su presupuesto de ciberseguridad a medida que aumenta la adopción e implementación de tecnologías digitales y emergentes (76% frente a 35%).
- Extender la ciberresiliencia más allá de las fronteras y silos organizativos. Los CEO ciberresilientes son un 40% más propensos a implementar políticas y controles específicos para terceros y aún más propensos a promover un enfoque de evaluación de riesgos a nivel empresarial que abarque unidades de negocio y funciones (64% frente a 41%).
- Abrazar la ciberresiliencia continua para mantenerse a la vanguardia. Los CEO ciberresilientes se compromenten a establecer constantemente medidas de ciberseguridad líderes en la industria que tengan en cuenta el cambiante panorama de riesgos y se alineen con las prioridades de la alta dirección para proteger el negocio y detectar y responder de manera efectiva a los ciberataques (60% frente a 34%).
En palabras de Agustín Muñoz-Grandes: "El paisaje de amenazas está en constante evolución y está creando una amplia brecha entre la creciente conciencia de los CEO sobre el impacto comercial de los ciberataques y su falta de confianza para mitigarlos. Esto debería ser una llamada de atención para todos los que ocupan puestos de responsabilidad en compañías. Para cerrar la brecha de ciberresiliencia, la ciberseguridad debe considerarse como una prioridad en toda la organización, con los procesos adecuados para informar; la participación de los empleados en todos los niveles; y un mayor compromiso y responsabilidad en toda la alta dirección y el consejo de administración".