Saltar al contenido principal
Seguridad y resiliencia

Resultados de la encuesta: Qué dicen los responsables de la toma de decisiones de TI sobre el estado del riesgo de TI

Artículo 2 oct. 2023 Tiempo de lectura: min
Kris Lovejoy

Kris Lovejoy

Global Practice Leader,
Security and Resiliency
Hoy en día, el riesgo de TI es tema de debate a nivel de las juntas directivas.

En un mundo donde las organizaciones dependen de sistemas de TI híbridos, complejos y geográficamente distribuidos, una interrupción de la red, un ataque de malware o cualquier otra disrupción del sistema pueden tener efectos devastadores para la productividad, la reputación y los resultados finales de una marca.

Por eso, las juntas directivas de muchas empresas están presionando a sus equipos ejecutivos para que les faciliten más información sobre su nivel de preparación ante una incidencia de este tipo.

Puesto que es mucho lo que está en juego, nuestro objetivo era cuantificar las percepciones del riesgo de TI y lo que las organizaciones están haciendo para mejorar su ciberresiliencia. Encuestamos a un panel mundial de responsables de la toma de decisiones de TI y profesionales en materia de riesgo y cumplimiento a fin de conocer las adversidades con las que se han encontrado, los riesgos de TI que más les preocupan y qué hacen sus organizaciones para anticiparse, protegerse, resistir y recuperarse de los riesgos.

Los resultados de esta encuesta constituyen el informe sobre el estado del riesgo de TI de 2023.

Nuestros resultados confirman que los sistemas de TI de las organizaciones están realmente sufriendo interrupciones. El estudio reveló que muchas veces esto obstaculiza los esfuerzos de mitigación de las interrupciones. También encontramos, sorprendentemente, que los líderes de TI mostraban un alto grado de confianza respecto a las capacidades de sus organizaciones para gestionar y recuperarse de las interrupciones de TI.

Le invitamos a analizar las conclusiones como marco de referencia para su propia estrategia de mitigación del riesgo de TI. Además de los resultados de la encuesta, ofrecemos nueve medidas que puede adoptar para mejorar la ciberresiliencia.

En The Progress Report, también hablé de los resultados con Ricardo Morales, CISO de Banorte, uno de los mayores bancos comerciales de México.

Las organizaciones dependen de los sistemas de TI para operar sus procesos comerciales críticos.

Para centrar el debate sobre el riesgo de TI, pedimos a los encuestados que sugirieran en qué medida sus actividades comerciales diarias dependen de los sistemas de TI.

El 84 % estuvieron de acuerdo o totalmente de acuerdo en que su organización depende en gran medida de los recursos de TI para operar sus procesos comerciales fundamentales.

El resultado no es sorprendente, dados los comentarios generalizados que nos encontramos a diario sobre la transformación digital.

Quizás lo que puede resultar más sorprendente es que la respuesta no fuera aún más contundente.

P: ¿En qué medida está de acuerdo o en desacuerdo? "Mi organización depende en gran medida de los activos de TI para operar procesos empresariales críticos".
La mayoría de las organizaciones han sufrido interrupciones en sus sistemas de TI.

No solo constatamos la importancia de los sistemas informáticos, sino también que las interrupciones son difícilmente evitables. El 92 % de los encuestados declararon que su organización ha padecido un acontecimiento adverso en los últimos dos años que puso en riesgo o interrumpió sus sistemas de TI. Sí, las actividades comerciales implican asumir riesgos de TI.

La mayoría de los encuestados afirmaron que habían sufrido tres o cuatro tipos distintos de interrupciones. Si bien los ciberataques tienden a acaparar los titulares, las conclusiones reflejan la justificación de la necesidad de un enfoque mucho más amplio a la hora de debatir y abordar el riesgo de TI.

La mayoría de los encuestados afirmaron haber experimentado tres o cuatro tipos distintos de perturbaciones.

Mientras que el 71 % de los encuestados indicaron haber sufrido un evento relacionado con la ciberseguridad, el 88 % declararon haber padecido un acontecimiento adverso que no tenía relación con la ciberseguridad (estas agrupaciones no son ni lo uno ni lo otro).  De hecho, tres de los cinco principales acontecimientos adversos sufridos no estaban relacionados con la ciberseguridad:

  • Error de hardware de TI
  • Error de red de TI
  • Parada del centro de datos

En particular, el error humano también sigue siendo una de las principales causas de interrupción. Ocupa la sexta posición entre las 13 interrupciones específicas sobre las que preguntamos, y fue sistemáticamente una de las tres causas principales mencionadas por los encuestados del sector de servicios financieros.

P: En los últimos 24 meses, ¿alguno de los siguientes sucesos adversos ha puesto en peligro o perturbado sus sistemas o datos informáticos?
Las interrupciones del sistema informático han dañado marcas, conllevado sanciones económicas y mucho más.

Continuando con la importancia de los sistemas de TI para las operaciones diarias, los encuestados clasificaron las interrupciones operativas como la consecuencia más común de los acontecimientos de TI adversos.

El cumplimiento u otras sanciones legales o normativas o sus ramificaciones ha sido la segunda repercusión más importante para las empresas. Esto fue especialmente cierto para los encuestados de los sectores de los servicios financieros, el gobierno y los medios de comunicación.

Las interrupciones operativas y la categoría de cumplimiento no solo fueron las principales consecuencias para las empresas. Además, los encuestados las clasificaron como las dos categorías de impacto más preocupantes si los recursos de TI dejaran de estar disponibles o se vieran comprometidos en el futuro. Las interrupciones por negación de servicio y las fugas de datos, por ejemplo, pueden acarrear costosas sanciones económicas.

El 35 % de los encuestados afirmaron que la reputación de marca de su organización se vio dañada como consecuencia de interrupciones de TI. Este resultado se consideró especialmente cierto entre los encuestados de las organizaciones de medios de comunicación, donde el 63 % habían observado esta consecuencia. El flujo constante de noticias y la actividad continua de los clientes en las redes sociales hacen que cualquier acontecimiento adverso sea hoy más visible que nunca.

P: ¿Cuál de los siguientes efectos, en su caso, experimentó su organización como consecuencia de acontecimientos adversos [en los últimos 24 meses]?
Por lo tanto, ¿qué impide a los responsables de la toma de decisiones de TI adelantarse a los riesgos de TI?

Nuestra previsión era que el déficit global de competencias en TI sería uno de los principales factores de mitigación, pero no llegó a ocupar la primera posición de la lista. La carencia de capacidad para recuperar los sistemas y los datos a partir de una copia de seguridad limpia y cifrada resultó ser, con frecuencia, uno de los principales desafíos que afrontaban los encuestados a la hora de gestionar el impacto de acontecimientos adversos. También observamos a menudo esta situación en las organizaciones que preguntan acerca de nuestros servicios. Les recomendamos:

  • Invertir en automatizar y orquestar los procesos de recuperación
  • Evaluar y establecer la mejor manera de mitigar los errores humanos al restaurar a partir de copias de seguridad
  • Probar los planes de respuesta a incidencias repetidamente y con frecuencia

Los tres principales retos que afrontan los encuestados a la hora de mitigar el riesgo lo completan el crecimiento de la ocupación de TI y las dificultades para mantenerse al día acerca de las amenazas emergentes. La falta de personal de TI cualificado ocupó el cuarto lugar.

P: ¿Cuáles son los tres principales retos a los que se enfrenta a la hora de gestionar el impacto de los efectos adversos?
De cara a los próximos 12 meses, los eventos de malware se consideran como el mayor riesgo de TI en términos de posibilidad y de repercusiones más negativas.

Les pedimos a los encuestados que nos indicaran los acontecimientos adversos que prevén que será más probable que deban afrontar en los próximos 12 meses, así como el nivel de repercusión que estos podrían tener en sus organizaciones, en caso de producirse.

Consideraron el error humano el evento más probable, pero la repercusión que se espera de este tipo de evento es inferior a la de la mayoría de los demás eventos. Por el contrario, el malware destacó como el riesgo de TI que se considera más probable y amenazador.

Dado el aumento del malware, en concreto del ransomware, el resultado no es sorprendente. En vista de los retos mencionados anteriormente que supone la recuperación de datos a partir de copias de seguridad limpias y cifradas, también sugiere un motivo por el que es necesario estar más atentos. Independientemente de si su organización tiene dificultades con las copias de seguridad o no, un factor que complica la situación es que cada vez con más frecuencia los ataques de ransomware tienen como objetivo las copias de seguridad. En esos casos en que las copias de seguridad se han visto comprometidas, las organizaciones no solo no pueden restaurar los sistemas, sino que tampoco pueden comprobar si hay malware. Como resultado, el riesgo y las posibles repercusiones se disparan.

El acceso sin autorización, otro riesgo que se estima muy probable y que puede tener gran repercusión, también se considera que puede conllevar importantes consecuencias negativas. Los principios Zero Trust desempeñarán una función cada vez más importante en la gestión del acceso sin autorización. Estos principios exigen a las organizaciones que para llevar a cabo la validación identifiquen sus recursos de alto valor, determinen el acceso privilegiado y optimicen las tecnologías, como la autenticación multifactor.

A pesar de los riesgos que perciben, los responsables de la toma de decisiones de TI mantienen la confianza.

Anteriormente en este informe mencionamos nuestra sorpresa ante el nivel de confianza de los responsables de la toma de decisiones de TI, dados los acontecimientos globales y los retos observados. De hecho, el 88 % de los encuestados estuvieron de acuerdo en que su organización está bien preparada para gestionar y recuperarse de cualquier condición adversa, ataque o riesgo que cause interrupciones en los recursos de TI de su organización.

Cuando se pidió a los encuestados que comparan su organización con otras organizaciones homólogas, el 65 % calificaron la preparación de su organización para acontecimientos adversos superior a la de otras organizaciones. Sólo el 8 % consideraron que su organización estaba ligeramente menos preparada que las demás. El alto nivel de confianza nos llama especialmente la atención, dado el ya mencionado 92 % que también confirmaron que sus organizaciones han sufrido acontecimientos adversos. La dualidad es cuando menos curiosa, si no razón para preguntarse si tal confianza está justificada.

P: ¿En qué medida está de acuerdo o en desacuerdo? Mi organización está bien preparada para gestionar y recuperarse de cualquier situación adversa, ataque o peligro que afecte a los activos informáticos de mi organización.
9 medidas para que los líderes de TI mejoren la ciberresiliencia

Realizamos este estudio para evaluar cómo los responsables de la toma de decisiones de TI perciben el estado actual del riesgo de TI y qué acciones (en los cuatro pilares de la ciberresiliencia) realizan sus organizaciones para mitigar esos riesgos.

Anticipación: acciones para evaluar y comprender la postura de riesgo de TI a fin de mitigar mejor las posibles amenazas y sortear las posibles regulaciones.

Protección: acciones para reforzar las defensas de los recursos de TI a fin de garantizar su protección ante acontecimientos adversos.

Resistencia: acciones para gestionar las interrupciones y reducir las repercusiones.

Recuperación: acciones para ayudar a mitigar la repercusión después de cualquier interrupción y recuperar rápidamente los entornos de TI críticos.

Los encuestados calificaron sistemáticamente el desempeño de sus organizaciones como bueno, de ahí las altas puntuaciones de confianza. De promedio, en todas las actividades, el 75 % de los encuestados consideraron su rendimiento entre muy bueno y excelente. Además, encontramos que los encuestados que declararon una fuerte aceptación de la ejecutiva para las inversiones en seguridad tenían más probabilidades de otorgarse calificaciones más altas en las actividades relacionadas con la ciberresiliencia.

Para ayudarle a obtener también esa aceptación, aquí le proporcionamos nueve medidas básicas para mejorar la ciberresiliencia.

  1. Involucre a la empresa desde el principio. Las organizaciones de TI con frecuencia operan aisladas, separadas de otras áreas del negocio. La vía más segura para lograr el éxito de una estrategia de ciberresiliencia es eliminar el aislamiento. Invite al debate a voces ajenas a TI, e incluya las conversaciones acerca de la ciberresiliencia en la misión de la organización. Integre la ciberresiliencia en la cultura organizativa.
  2. Defina su alineación acerca de la tolerancia al riesgo. El nivel de tolerancia al riesgo a menudo lo dicta el sector. Por ejemplo, el nivel de tolerancia de una institución financiera estrictamente regulada probablemente sería muy bajo. Sea cual sea el nivel, defina la tolerancia al riesgo de su organización y comuníquelo a sus equipos.
  3. Establezca su empresa mínima viable. Una empresa mínima viable representa los componentes de la organización que son fundamentales para mantener las operaciones y lograr los objetivos comerciales. Su estrategia de ciberresiliencia no solo debe identificar los componentes fundamentales, sino también el nivel de tolerancia al impacto respecto a la rapidez con la que los datos subyacentes de estos sistemas deben volver a estar en línea.
  4. Haga inventario. Como demuestran los resultados de la encuesta, muchas organizaciones afrontan el reto del crecimiento continuo de la ocupación de TI. Identifique y correlacione los recursos de TI fundamentales para su empresa mínima viable. La protección de estos recursos y, en el peor de los casos, su recuperación tras un acontecimiento adverso serán su principal prioridad.
  5. Adopte una infraestructura Zero Trust. Recomendamos la adopción del estándar de "denegación por defecto", a fin de garantizar que solo aquellos que necesiten acceder a los sistemas puedan obtener dicho acceso y que aquellos que no lo necesiten, por el contrario, no lo tengan.
  6. Establezca un plan de gestión de crisis. A veces los acontecimientos adversos son inevitables. (Un caso concreto: el error humano considerado como causa más probable de interrupciones.) Definir roles y responsabilidades en los equipos, establecer un proceso de comunicación, documentar los procesos y mejorar la transparencia a menudo ayuda a reducir el impacto de un acontecimiento adverso.
  7. Ponga en práctica los planes previstos para una interrupción. A menudo se crean planes, pero luego se archivan y rara vez se ponen en práctica. Cuando se produce un acontecimiento adverso, un plan que no se ha probado previamente genera confusión y una respuesta lenta, y las repercusiones pueden ser mayores.  
  8. Modernice continuamente su estrategia de ciberresiliencia. Las organizaciones son entidades vivas. Las actividades comerciales evolucionan, los entornos informáticos son cada vez más complejos, las fuerzas externas (como las normativas) pueden requerir cambios. Para garantizar la eficacia de su estrategia de ciberresiliencia, estas medidas deben formar parte de un debate continuo.
  9. Cree concienciación en la directiva. Terminamos el informe de la encuesta donde empezamos: llamando la atención sobre el hecho de que la ciberresiliencia se ha convertido en un tema de debate en las juntas directivas en todo el mundo.

Mantener a su junta directiva informada sobre los riesgos de TI y los planes para mitigar estos riesgos puede ayudar a mejorar la alineación organizativa de arriba a abajo. Asimismo, puede ofrecer protección para los cambios que sea necesario realizar a fin de garantizar que los sistemas cibernéticos puedan permanecer operativos durante acontecimientos adversos.

Perspectivas sobre resistencia y modernización de TI
Cómo obtuvimos los datos

Contratamos a una empresa de investigación de terceros para llevar a cabo una encuesta en línea a 300 responsables de la toma de decisiones de TI de grandes empresas (de más de 1000 empleados). El periodo de recopilación de las respuestas fue de marzo a abril de 2023.

Ubicaciones de los encuestados:
  • 65% América del Norte
  • 19% Reino Unido
  • 16% India
Desglose por sectores:
  • 18% Servicios financieros
  • 17% Gobierno
  • 17% Fabricación
  • 14% Telecomunicaciones
  • 14% Medios
  • 20% Otros

Kris Lovejoy es el Director de Prácticas Globales de Seguridad y Resistencia de Kyndryl.

Descargar el informe en PDF
Temas
Seguridad y resiliencia
Servicios Relacionados
Seguridad y resiliencia

Contenido recomendado

Transformación de la empresa

Taking cybersecurity from an IT issue to a strategic business imperative

Pódcast 1 may. 2024
Seguridad y resiliencia

Incident response and incident recovery: simply better together

Artículo 19 abr. 2024
Espacio de trabajo digital

CTO to CTO: How Aegon made the shift to hybrid work

Artículo 3 abr. 2024