Problemas de alineación entre Ciberseguridad y Alta Dirección abren riesgos cibernéticos

El mercado mexicano y la ciberseguridad

El reporte destaca que el 50 % de los CISO en México afirma que existe un requisito regular de informar al CEO y a la junta directiva sobre su riesgo de ciberseguridad y su postura de cumplimiento. Pero, en paralelo, el 66 % de los CISO afirma que sus herramientas de seguridad tienen una capacidad limitada para generar información que el CEO y la junta directiva puedan utilizar para comprender los riesgos empresariales y prevenir amenazas.

Los CISO mexicanos clasificaron las principales prioridades de sus organizaciones para la gestión de la ciberseguridad de la siguiente manera:

1. Seguridad de la aplicación (es decir, gestión de vulnerabilidades).
2. Gestión y respuesta a crisis (es decir, filtración de datos y enfoque en los medios).
3. Gestión/supervisión interna de riesgos (es decir, uso de dispositivos móviles).

Los incidentes de seguridad de aplicaciones siguen creciendo, pues 50 % de las organizaciones ha experimentado alguno en los últimos dos años. Sin embargo, 90 % de los CISO dicen que la seguridad de las aplicaciones es un punto ciego a nivel del CEO y de la junta directiva.

Con respecto a DevSecOps, 78 % de los CISO dicen que la automatización de DevSecOps será esencial para su capacidad de mantenerse al tanto de regulaciones emergentes como el mandato de ciberseguridad de la SEC como NIS2 y DORA. Igualmente, 92 % de los CISO dice que la automatización de DevSecOps es aún más importante para gestionar el riesgo de vulnerabilidades introducidas por la IA. No obstante, 64 % de los CISO tienen dificultades para impulsar la automatización de DevSecOps debido a su dependencia de múltiples herramientas de seguridad de aplicaciones, y sólo el 16 % dicen que su organización tiene prácticas maduras de automatización de DevSecOps.

La falta de alineación entre Seguridad y Dirección abre vulnerabilidades

A nivel mundial, el reporte de Dynatrace destaca que la falta de alineación entre los equipos de seguridad y dirección conduce a riesgos cibernéticos, contra la cual están luchando los CISO; el 87% dicen que la seguridad de las aplicaciones es un punto ciego a nivel de CEO y la junta directiva.  

A nivel de la Alta Dirección, siete de cada diez ejecutivos entrevistados dicen que los equipos de seguridad hablan en términos demasiado técnicos, sin brindar un contexto de negocios. Sin embargo, el 75 % de los CISO destaca que el problema tiene su origen en herramientas de seguridad que no pueden generar información que los ejecutivos de gerencia y las juntas directivas puedan utilizar para comprender los riesgos comerciales y prevenir amenazas.

Esta situación se enfrenta a la realidad de que la IA está impulsando amenazas cibernéticas más avanzadas, por lo que abordar esta brecha tecnológica y de comunicaciones se está volviendo más crítica. En este contexto, casi tres cuartas partes (72 %) de los CISO dicen que su organización ha experimentado un incidente de seguridad de aplicaciones en los últimos dos años. Estos incidentes conllevan un riesgo significativo, y los CISO destacan las consecuencias comunes que han experimentado, incluyendo el impacto en los ingresos (47 %), las multas regulatorias (36 %) y la pérdida de participación de mercado (28 %).

“El uso cada vez mayor de la IA es un arma de doble filo, ya que genera ganancias de eficiencia tanto para los innovadores digitales como para aquellos que buscan romper sus defensas”, continuó Greifeneder. “Por un lado, existe un mayor riesgo de que los desarrolladores introduzcan vulnerabilidades a través de código generado por IA que no ha sido probado adecuadamente y, por otro, los cibercriminales pueden desarrollar ataques más automatizados y sofisticados para explotarlos. Para colmo de males, las organizaciones también deben cumplir con regulaciones emergentes, como el mandato de la SEC, que les exige identificar e informar sobre el impacto de los ataques en un plazo de cuatro días. Las organizaciones necesitan urgentemente modernizar sus herramientas y prácticas de seguridad para proteger sus aplicaciones y datos de las amenazas cibernéticas modernas y avanzadas. Los enfoques más efectivos se construirán sobre una plataforma unificada que impulse la automatización madura de DevSecOps y aproveche la IA para manejar datos distribuidos a cualquier escala. Estas plataformas proporcionarán los hallazgos que toda la empresa puede respaldar y utilizar para demostrar el cumplimiento de regulaciones estrictas”, concluyó.

El reporte, encargado por Dynatrace y realizado por Coleman Parkes entre marzo y abril de 2024, se basa en una encuesta global realizada a 1.300 CISO y diez entrevistas con CEO y CFO de empresas con más de mil empleados en EE. UU., Medio Oriente, Reino Unido, Francia, Alemania, Italia, España, Australia, Japón, Suecia, Benelux, India, Brasil y México.