Las amenazas cibernéticas aumentan junto con el escrutinio sobre cómo las empresas gestionan los ataques. Nueve de cada 10 directores de tecnología (CIO) de grandes empresas dicen que “sus riesgos cibernéticos aumentaron en 2023” y prevén “la misma tendencia en 2024”.
Los responsables de tecnología de casi todas las medianas empresas dijeron que “sentían” que las amenazas cibernéticas habían aumentado en el último año, según el Estudio Advice de Digitalización y Éxito Empresarial 2024 realizado por Advice Strategic Consultants. Nueve de cada 10 empresas dijeron que los riesgos de ciberseguridad aumentaron, y casi la mitad dijo que el riesgo se disparó sustancialmente. Sobre los factores de riesgo y amenazas, estos son los principales en 2023:
- Ciberseguridad (90%)
- Regulación (78%)
- Digitalización de la empresa (71%)
- Privacidad y Protección de Datos (68%)
- Nuevos actores en el mercado (66%)
- Geopolítica (63%)
- Crímenes financieros (50%)
- Cambio climático (47%)
- Cadena de suministro (47%)
- Conducta de los empleados (44%)
- Fusiones y adquisiciones / Competencia (38%)
- Diversidad / inclusión (33%)
Hackeos sonoros
Varios hackeos de alto perfil y cambios regulatorios en los últimos meses han aumentado los riesgos (y la sensación de inseguridad) para las empresas. En septiembre de 2023, el operador de casinos MGM Resorts International canceló algunos de sus sistemas informáticos después de que un ciberataque afectara las operaciones de sus hoteles y casinos. En febrero de 2024, hackers lograron penetrar en United Health Group: fue un ataque de ransomware que paralizó partes vitales del sistema de salud de Estados Unidos.
Estados Unidos también ha aumentado la presión sobre las empresas, para que comuniquen más rápidamente los ataques cibernéticos. Desde diciembre de 2023, la Comisión de Bolsa y Valores (Securities and Exchange Commision o SEC) exigió a las empresas que revelaran los ataques cibernéticos a la SEC como muy tarde, cuatro días hábiles “después de determinar que el incidente tendrá un impacto material en las operaciones de la empresa”. Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. publicó en marzo un proyecto con normas sobre cómo las empresas de infraestructura crítica tendrían que informar sobre ciberataques importantes, en un plazo de 72 horas y pagos de rescate, en un plazo de 24 horas.
Riesgos a la Ciberseguridad generan incertidumbre
El aumento del riesgo cibernético va de la mano del aumento de la incertidumbre sobre la capacidad de los departamentos de TIC para ser capaces de defender a la empresa de las amenazas. Ejemplos de alto nivel como los expuestos más arriba (MGM, United Health Group) generan preocupación entre los CIO: “si ellos no fueron capaces de evitarlo, ¿podremos hacerlo nosotros?”.
El 50% de CIO afirman “tener un nivel básico de experiencia para gestionar crisis serias, relacionadas con la ciberseguridad”; sólo el 8% se consideran verdaderamente expertos/as en Ciberseguridad, lo cual da idea de la necesidad de formación en capacidades profesionales de ciberseguridad y la oportunidad laboral para profesionales que tengan experiencia probada.
La necesidad de contar con personal para gestionar las amenazas cibernéticas también pesa en la mente de los directores de tecnología (CIO) de las empresas. 35% de los CIO dice que “un número insuficiente de profesionales expertos en Ciberseguridad es un reto para su departamento y para su empresa”. Y el 31% citó la necesidad de estar al día sobre los cambios regulatorios en materia de ciberseguridad; y el 23% mencionó la falta de las habilidades profesionales necesarias.
Los CIO dicen que la ciberseguridad es el área más importante en la que tuvieron que desarrollar y mejorar sus habilidades profesionales en 2023 y donde habrán de seguir poniendo foco en 2024. Siete de cada 10 CIO dijeron haber necesitado adquirir conocimientos en Ciberseguridad durante el último año.
A pesar de estos desafíos, el 90% de CIOs de grandes empresas dijo que su programa de cumplimiento de ciberseguridad era, al menos, “algo o bastante efectivo”. Sólo el 2% calificó su programa de “muy ineficaz”.
Aumentan las preocupaciones geopolíticas
Con la actual guerra entre Rusia y Ucrania, la continua tensión entre Estados Unidos y China y, más recientemente, el conflicto entre Israel y Gaza, que dificulta el comercio de productos y servicios, así como a la cadena de suministro, es importante saber cómo los riesgos geopolíticos afectan a los CIO en el desempeño de su trabajo y, en concreto, en su capacidad de respuesta para defenderse de ataques contra la Ciberseguridad de su empresa.
70% de los CIO de Grandes Empresas aseveran que “los riesgos comerciales, de negocio y operaciones atribuibles a preocupaciones geopolíticas, han aumentado año tras año, desde el COVID en 2020”. Entre los factores geopolíticos que impactaron el trabajo de los CIO, el 43% de ellos citó el conflicto entre Rusia y Ucrania. Esta guerra resulta particularmente grave para las empresas más grandes, con 54% de CIOs declarando que “la guerra entre Rusia y Ucrania está impactando su trabajo”. Particularmente preocupantes les resultan ataques cibernéticos desde Rusia hacia intereses occidentales que han sido conocidos a través de los medios de comunicación. Al igual que la continua amenaza de China en su guerra tecnológica, comercial y económica con EE.UU. que afecta a grandes empresas de Norteamérica y Europa Occidental, también España.
Factores de riesgo geopolíticos y problemas que directores de IT dijeron que estaban impactando en su trabajo: Guerra entre Rusia-Ucrania; Guerra Israel-Gaza; Tensiones China-Taiwán; Tensiones económicas (comerciales y tecnológicas) entre Estados Unidos y China; Elecciones en el 40% del planeta.
La guerra en Ucrania y los posteriores paquetes de sanciones para castigar a Rusia, han impactado las cadenas de suministro en todo el mundo: llueve sobre mojado, porque las cadenas de suministro ya estaban tensionadas desde la pandemia del COVID y las guerras han aumentado problemas existentes. El conflicto ha interrumpido rutas comerciales aéreas y terrestres, ha afectado a los suministros que dependían de componentes fabricados en Rusia y Ucrania y ha restringido gravemente las exportaciones de productos básicos de ambos países. De hecho, el 47% de los Directivos de TI dice que “los riesgos de la cadena de suministro para su negocio han aumentado en el último año”. Mientras tanto, un tope de 60 dólares por barril al precio del petróleo ruso impuesto por Estados Unidos y sus aliados, para ayudar a frustrar la financiación de la guerra contra Ucrania, no ha tenido los resultados esperados por Occidente y los esfuerzos de Rusia por eludir el tope y generar ingresos son, por contraste, cada vez más exitosos, con la ayuda de China y países satélites.
Las tensiones económicas entre Estados Unidos y China y las elecciones en los países donde opera el negocio de las grandes empresas, preocupan al 39% y el 37%, respectivamente, de los CIO, por el impacto negativo que puedan tener en el negocio de sus empresas. En los últimos años, las empresas estadounidenses con presencia en China se han sentido presionadas por tensiones geopolíticas, conflictos comerciales y cambios políticos internos. Mientras tanto, los problemas económicos en China (decrecimiento del PIB y desaceleración económica) y una serie de acciones regulatorias contra Occidente han puesto nerviosas a las empresas extranjeras y muchas redujeron sus inversiones en el país asiático. La caída de la venta de smartphones (iPhone) de Apple en China afectó de manera importante las cuentas de la compañía de la manzana en su último trimestre fiscal, por ejemplo.
La guerra de Gaza estaba más abajo en la lista de preocupaciones, citada por alrededor del 20% de los CIO, como un riesgo que afecta su trabajo, seguida de las tensiones entre China y Taiwán, con un 19%, y la corrupción del sector público, con alrededor del 18%.
CIOs, ciberseguridad e Inteligencia Artificial
Si bien la inteligencia artificial es un tema de enorme interés para los CIO de las grandes empresas, eso no se traduce en que la mayoría haya puesto ya en marcha proyectos específicos, en que Ciberseguridad e IA vayan de la mano: un tercio de los CIO están usando herramientas de inteligencia artificial embebidas en soluciones de Ciberseguridad, en comparación con el 46% que afirma que, “aún no las están usando pero que planeaban hacerlo en el futuro”. La realidad es que a pesar del auge de ChatGPT, Google Gemini y otras soluciones de IA generativa (GenAI) que están en el imaginario popular o incluso ya en sus ordenadores y teléfonos móviles, muchas empresas adoptan un enfoque de “wait and see” (esperar y ver qué pasa con la tecnología de moda, en todas sus vertientes).
La fallida experiencia del Metaverso (2021 y 2022) que llevó a muchas grandes empresas de todos los sectores a invertir cantidades billonarias, en lo que demostró ser una burbuja de muy corto recorrido, ha generado prudencia entre los CIO ante el auge tan fuerte de la Inteligencia Artificial. Una cosa es la GenAI y otra la Inteligencia Artificial General. La primera no requiere grandes inversiones. La segunda, sí. Una gran mayoría de grandes empresas está llevando a cabo pruebas y proyectos piloto “antes de lanzarse a la piscina”.
En ese sentido las empresas más pequeñas (pymes y microempresas) están adoptando soluciones de Inteligencia Artificial Generativa. El 41% de pymes dicen haber aplicado ya esa tecnología, habida cuenta de su actual bajo precio y el retorno de la inversión (ROI) que esperan obtener a cambio. Pero más de la mitad de las grandes empresas afirman, por contraste con las pymes y las medianas, que “están considerando adoptar la IA”. Como suele decirse popularmente, “los experimentos, solo con gaseosa”. Y las grandes corporaciones quieren primero ver si la IA cuaja y da beneficios en aquellos que sí la utilizan hoy, antes de comprometer inversiones.
Y, para acabar, un dato: el 44% de los CIO de grandes empresas manifiestan su intención de desarrollar internamente proyectos de Inteligencia Artificial embebidos en soluciones de Ciberseguridad. Proveedores de Cloud como Microsoft Azure, AWS y Google Cloud ya ofrecen esas soluciones, seguidas por empresas más pequeñas como Oracle, SAP y SAS, entre otras. Aunque el objetivo final sea integrar la Inteligencia Artificial en todas las tecnologías de la Digitalización, (Internet de las Cosas, Blockchain, Big Data, Cloud, Ciberseguridad, etc), el peso que tiene hoy la preocupación por las amenazas a la Ciberseguridad lleva a los CIO de las grandes empresas a buscar soluciones en el medio plazo de Ciberseguridad e Inteligencia Artificial en primera instancia.
Proveedores no faltan: Fortinet, Symantec, Kaspersky, Telefónica Tech, Palo Alto Networks, Checkpoint, HornetSecurity, McAfee, WatchGuard, SonicWall, CloudFlare, Cisco, Barracuda, Microsoft, Sophos, IBM, etc.
Es cuestión de ser consciente de las amenazas y poner remedio: internamente y con la ayuda de proveedores expertos.