Ejecutivos financieros están más preocupados que nunca por la capacidad de su firma ante ciberamenazas

La consultora EY realizó una encuesta a nivel internacional a los directores de seguridad de la información y a altos ejecutivos respecto a los desafíos que existen en torno a la ciberseguridad en la industria financiera.

En Chile, los ejecutivos están preocupados por las vulnerabilidades informáticas que llegaron durante la aceleración del proceso de transformación digital en la era de pandemia.

De acuerdo al sondeo, el 89% de las empresas vio aumentos en el número de ataques disruptivos en los últimos 12 meses. En línea con ello, el 55% está más preocupado que nunca por la capacidad de su firma para gestionar las ciberamenazas.

En cuanto a la introducción de nuevas tecnologías en los negocios, el 55% respondió que las escalas de tiempo han sido demasiado ajustadas para las evaluaciones de ciberseguridad.

Además, el 66% declaró que no siempre sabe si sus "defensas" son lo suficientemente fuertes para las nuevas estrategias de los hackers.

Respecto de la era post pandemia, la gran mayoría de las empresas chilenas están planeando una nueva ola de inversiones en tecnología.

No obstante, un 22% de los ejecutivos manifestó que su presupuesto es menor a lo que necesita para administrar los desafíos que surgieron en los últimos 12 meses.

Rol del directorio y los presupuestos

El 67% de los encuestados indicó que el directorio trata temas de ciberseguridad de manera mensual.

La socia adjunta de consultoría en riesgo tecnológico en servicios financieros de EY, Paola Peñarrieta, resalta que "abordar estos temas mensualmente permitirá a los directorios tomar el rol de liderazgo que se espera para establecer una adecuada estrategia en relación con la ciberseguridad".

Respecto el valor total anual del gasto en ciberseguridad, el 44% mencionó que va entre US$ 1 millón y US$ 4,9 millones.Solo un 11% afirmó que es sobre los US$ 50 millones.

Peñarrieta subraya que "se hace más importante que el presupuesto incluya aspectos de ciberseguridad".

Precisa que "se debe tener en mente que 'más' no siempre es 'mejor' por lo que la asignación del presupuesto debe ir de la mano con una evaluación de riesgo que permita a cada organización determinar su nivel de inversión en ciberseguridad en base al nivel de riesgo el cual está dispuesto a asumir".

Abordar el negocio

Una de las fricciones al interior de las empresas que detectó la encuesta son las relaciones entre los equipos de ciberseguridad y el resto de las unidades.

Un 66% de los sondeados afirmó que los equipos de ciberseguridad no siempre son consultados o informados de manera oportuna. Y el 33% ha visto a los equipos del negocio eludir los procesos de ciberseguridad para facilitar el trabajo remoto y flexible.

Frente a estos números, Peñarrieta llama a la industria financiera a "construir relaciones más sólidas y basadas en la confianza y así ser parte del equipo encargado de planificar las inversiones estratégicas de manera que se pueda abordar la seguridad desde el diseño". De hecho, solo el 33% de las empresas financieras en Chile incluye la ciberseguridad en la fase de planificación de los programas de transformación digital.

El socio líder de ciberseguridad de EY, Facundo Jamardo, hace ver que la ciberseguridad fue vista como un tema técnico y que debía ser tratada por especialistas y no por ejecutivos.

El avance de la digitalización en el negocio financiero evolucionó y hoy se requiere "que los especialistas técnicos entiendan detalles del negocio y que los ejecutivos entiendan detalles de la infraestructura tecnológica que soporta la operación de sus negocios", dice.

Consultado si la ciberseguridad es una prioridad para las empresas, responde que "implementar estos cambios requiere tiempo, esfuerzo y dinero y, en la mayoría de los casos, este esfuerzo es proporcional a la complejidad de la organización".

Regulación de la seguridad

La fragmentación de la regulación se está convirtiendo en un problema para la industria, según un 55% de los encuestados.

Jamardo indica que frente a esta problemática "el gran desafío es integrar y racionalizar todos estos requerimientos y construir un único plan de cumplimiento, con controles que cubran la necesidad de muchas regulaciones al mismo tiempo para minimizar el esfuerzo de implementación, gestión y seguimiento".