Los presupuestos que las compañías aplicará a ciberseguridad aumentarán un 34% el próximo año, según una encuesta mundial realizada por ESI ThoughtLab y WSJ Pro Cybersecurity.

Las empresas de todo el mundo tienen algo en común, su preocupación crecente por los ciberriesgos. La mayoría esperan aumentar sus inversiones en ciberseguridad en un 34% en el próximo ejercicio fiscal, después de haberlas aumentado en un 17% el año anterior, según recoge el último estudio elaborado por ESI ThoughtLab y WSJ Pro Cybersecurity, que abarca 467 empresas de todos los sectores y con sede en 17 países. Según detalla este informe, alrededor del 12% de las empresas encuestadas tienen previsto reforzar sus inversiones en ciberseguridad en más de un 50%.

Estos aumentos se deben a las crecientes pérdidas anuales por ciberataques, para las empresas encuestadas les ha supuesto de promediaron unos 4,7 millones de dólares en el último año fiscal. Además, una de cada diez empresas perdió más de 10 millones de dólares. Esa pérdida media equivale al 0,114% de los ingresos de todas las empresas encuestadas. Las pérdidas son más graves para las empresas medianas que para las grandes y muy grandes, que ya han tomado mayores medidas para asegurar sus negocios.

Muchos ejecutivos creen que sus inversiones en ciberseguridad están dando sus frutos. Las empresas reportan una disminución en el impacto de estos ataques en los últimos nueve meses. La encuesta de ESI ThoughtLab muestra que el impacto de los ciberataques de malware, phishing y aplicaciones de telefonía móvil también disminuyó durante ese período. Sin embargo, añade el documento, “la escalada de las pérdidas cibernéticas notificadas en general pone de manifiesto que la ciberseguridad es una lucha en constante evolución, ya que los piratas informáticos atacan no2 sólo a empresas individuales, sino a industrias enteras, en busca de cualquier vulnerabilidad.

Nuevos ataques, nueva defensa

Aunque el impacto de ciertos tipos de ataques ha disminuido, la encuesta muestra un aumento en otros, como las incursiones a través de las cadenas de suministro y los ecosistemas de las empresas. «Este es un ejemplo de lo que llamamos el’efecto globo’ en la ciberseguridad, donde la presión sobre los riesgos en un lugar hace que otros aparezcan en otro», explica Lou Celi, director ejecutivo de ESI ThoughtLab. «Gracias a la mejora de la ciberseguridad, las empresas mitigan con mayor eficacia los riesgos de los actores de las amenazas no intencionadas y menos sofisticadas, pero los adversarios más avanzados siguen encontrando una forma de entrar».

La investigación muestra que, para combatir los riesgos en evolución, las compañías necesitan tomar una defensa proactiva y de múltiples niveles. Las empresas están respondiendo asignando la mayor parte de sus presupuestos a la tecnología, buscando al mismo tiempo el equilibrio adecuado entre las inversiones en las personas y en los procesos. También se están centrando más en la identificación de riesgos para abordar las vulnerabilidades emergentes y están invirtiendo más en la resiliencia para garantizar que puedan responder rápidamente a los ataques exitosos.

Otros datos (y consejos) del informe que las empresas no deben obviar:

  • Asegurarse de estar invirtiendo lo suficiente en ciberseguridad. Algunas industrias, como los medios de comunicación y los mercados de consumo, están asignando menos y pueden estar más expuestas a los riesgos cibernéticos.
  • Pensar en la ciberseguridad como cualquier otra amenaza existencial para el negocio. Los riesgos no se limitan a la privacidad, la responsabilidad y el robo de datos; también pueden crear enormes riesgos operativos si se interrumpe el negocio y pueden tener un impacto en la reputación que puede perjudicar las posiciones en el mercado.
  • Prestar atención a los riesgos de los socios y de su cadena de suministro. A medida que las empresas recurren a ecosistemas de terceros para impulsar la transformación digital, aumentan su vulnerabilidad a los riesgos cibernéticos.
  • No obviar los riesgos legales y regulatorios que también están aumentando sustancialmente. Las empresas que no cumplen con las nuevas normas se enfrentan a fuertes sanciones y consecuencias legales.
  • Implementar un entrenamiento riguroso de los incidentes. Para ello, hay que someter a las partes interesadas clave a un ejercicio de escenario sólido para prepararlas para los eventos cuando ocurran y para planificar cómo responder rápidamente.
  • Medir las pérdidas, costes y devoluciones totales. Cuando se es golpeado por un ciberataque exitoso, se necesita entender todos los costes – directos e indirectos, tangibles e intangibles.