4 formas de aumentar la ciberresiliencia frente a amenazas cada vez más diversas

Durante 2023, la economía de la ciberseguridad creció cuatro veces más rápido que la economía mundial y superó el crecimiento del sector tecnológico. Esta trayectoria indica un rápido aumento de la innovación y las oportunidades en el sector. Pero con las oportunidades vienen los riesgos. Como era de esperar, la ciberseguridad sigue ocupando un lugar destacado entre los principales riesgos en la edición de 2024 del Informe sobre Riesgos Globales 2024 del Foro Económico Mundial, tanto a dos como a diez años vista.

A medida que aumentan la escala y la diversidad de las amenazas, la resiliencia se hace primordial. Como revela el nuevo informe Perspectivas Mundiales de Seguridad 2024 del Foro, pocas organizaciones son lo suficientemente sólidas como para considerarse ciberresilientes con confianza. Además, a medida que aumentan los riesgos y la tecnología que crea y combate las ciberamenazas, crece una enorme brecha entre las grandes organizaciones, bien dotadas y capacitadas, y sus homólogas de pequeño y mediano porte.

Afortunadamente, las empresas pueden mejorar su resiliencia cibernética de varias maneras, y si se abordan de forma sistémica, estas medidas darán lugar a un ecosistema cibernético mucho más sólido.

El estado de salud del sector presenta un panorama heterogéneo, en el que las amenazas de larga data, como el malware, siguen desarrollándose junto con riesgos nuevos y cada vez más diversos, según se desprende del informe. En los últimos cinco años, se ha duplicado el número de familias de malware y sus variantes que se han infiltrado en al menos el 10% de las organizaciones mundiales. Esto, unido a la creciente desigualdad en materia de ciberresiliencia, impulsada por el elevado coste de las herramientas y el talento necesario, así como la temprana adopción de tecnología punta por parte de las organizaciones más grandes del sector, plantea retos sin precedentes.

Se trata de problemas complejos que requieren la atención de todo el sector. Por desgracia, al mismo tiempo están apareciendo o transformándose otros riesgos. La tecnología emergente es un ejemplo, en particular el creciente uso y desarrollo de la inteligencia artificial generativa (IA). Este avance está aumentando la complejidad de los ataques y la capacidad de los adversarios para hacer cosas que los defensores ya están combatiendo, como el phishing.

Entramos en 2024 con unas perspectivas de riesgo difíciles, que las tensiones geopolíticas amenazan con exacerbar. Nuestra investigación revela que el 70% de los líderes cibernéticos citan las preocupaciones geopolíticas como factores que influencian al menos moderadamente en la estrategia de ciberseguridad de su organización. Es un año en el que 45 países van a celebrar elecciones generales -entre ellos la India, el Reino Unido y los Estados Unidos- que, en conjunto, representan el 50% del producto interior bruto mundial. Esto aumentará el perfil de riesgo, ya que la IA generativa exacerbará los problemas existentes con la desinformación, la desinformación y la manipulación de las plataformas de las redes sociales.

Pero no son sólo los nuevos riesgos los que preocupan a los ciberexpertos. Nuestra investigación reveló los problemas a los que se enfrentan las empresas para proteger los sistemas más antiguos y la tecnología heredada, que, para el 44% de los encuestados, es el mayor obstáculo para alcanzar la ciberresiliencia.

Un problema de larga data para el sector ha sido -y sigue siendo- la escasez de competencias y talento. En lugar de reducirse la brecha, nuestro informe sugiere que se está ampliando a un ritmo alarmante. Casi el 80% de los encuestados revelaron que sus organizaciones carecen de equipos cibernéticos con las competencias suficientes para alcanzar sus objetivos de ciberseguridad.

Estos retos socavan fundamentalmente todo el ecosistema cibernético, lo que refleja la naturaleza interconectada del sector. Pero hay esperanza. El cambio fundamental que debe producirse es una mejora de la ciberresiliencia y nuestra investigación ha mostrado cinco medidas tangibles que las empresas pueden adoptar para mejorarla.

La resiliencia se desarrolla paso a paso. Hay muchas piezas compuestas y no hay soluciones rápidas para garantizar una línea de defensa sólida. El primer paso es dar prioridad al ciberriesgo. Puede parecer obvio, pero dado el espectro de amenazas a las que se enfrentan las empresas, el ciberriesgo puede quedar relegado a un segundo plano. Sin embargo, es primordial que las organizaciones evalúen y prioricen periódicamente el riesgo cibernético. Nuestra investigación descubrió una tendencia positiva a este respecto: la práctica cada vez más común de incorporar la resiliencia cibernética a la gestión de riesgos organizativos.

Hay muchos ciberexpertos con experiencia en este campo y el mejor consejo que descubrimos durante nuestra investigación fue que, incluso frente a los riesgos tecnológicos emergentes, es necesario mantener la atención en las prácticas de ciberresiliencia probadas y comprobadas. De este modo, los expertos descubren que las amenazas pueden detectarse y mitigarse a tiempo.

El segundo paso es un complemento de eso: desarrollar la gobernanza cibernética. Sin duda, se acumula conocimiento y muchas organizaciones tienen prácticas prudentes de ciberresiliencia que están cosechando dividendos. Es necesario compartir las mejores prácticas y desarrollar el conocimiento institucional. En este aspecto, la ciberresiliencia y la confianza de los CEO son simbióticas. Nuestra encuesta reveló que el 93% considera que sus organizaciones son líderes en este campo y confía en sus CEO para hablar externamente sobre su riesgo cibernético. Esta conclusión subraya la importancia del apoyo a la estrategia y los planes cibernéticos por parte de los directivos.

El tercer paso es la necesidad de cultivar una cultura de resiliencia. La formación periódica y la concienciación son fundamentales para mejorar la cultura organizativa, al igual que la participación. Todos los miembros de una organización deben comprender los riesgos derivados de nuestra economía digital interconectada. Internamente, las empresas deben buscar un acceso equitativo a las prioridades, el talento, la tecnología, las herramientas de seguridad y la cultura organizativa adecuados. Externamente, las empresas deben trabajar con sus socios para evaluar y abordar con solidez los riesgos de la cadena de suministro.

Esto nos lleva a nuestro cuarto elemento: fomentar la resiliencia sistémica y la colaboración. Entre los indicadores de resiliencia cibernética figuran la calidad y la cantidad de las colaboraciones. Este elemento no sólo se refiere a la comprensión de las organizaciones sobre el riesgo cibernético de su cadena de suministro, sino también a la claridad y eficacia de la normativa y a la accesibilidad y madurez de las palancas, como las ciberpuntuaciones o los ciberseguros. Un entorno positivo en todas estas áreas crea resiliencia, lo contrario de fragilidad.

Por último, las organizaciones deben asegurarse de que el diseño respalda la resiliencia cibernética. Normalmente, una mezcla de comodidad, la oportunidad de utilizar nuevas tecnologías para mejorar las perspectivas de una empresa y el propio rasgo humano de temer quedarse atrás tientan a las organizaciones a introducir nuevas tecnologías más rápido y con menos seguridad de lo que es prudente. Una forma de abordar este problema es cambiar la estructura de incentivos económicos para los innovadores.

Los gobiernos piden cada vez más a los fabricantes de tecnología y a los proveedores de servicios que creen productos con seguridad integrada desde el principio y que puedan mantenerse seguros durante su ciclo de vida. Esta seguridad desde el diseño se está incorporando a programas y normativas como la propuesta de Ley de Ciberresiliencia de la Unión Europea, y se esperan nuevas actividades en este ámbito.

Todo indica que 2024 será otro año difícil, pero es posible avanzar si se modifican las prácticas y se persigue la cooperación y el intercambio de mejores prácticas. En particular, los retos son sistémicos, lo que apunta a la necesidad de garantizar el compromiso y la participación de todas las partes interesadas. La ventaja es que, a medida que se desarrolla el impulso para abordar colectivamente los retos y riesgos del sector, un ecosistema de ciberseguridad cada vez más resiliente beneficia a todos.