Las empresas constatan el aumento del riesgo corporativo en los últimos doce meses

  • Seguridad

Los niveles de riesgo se están incrementando y las empresas tardar en responder y mitigar las amenazas. Según un nuevo estudio, menos de un tercio de las organizaciones pueden predecir con precisión el impacto de las amenazas y vulnerabilidades asociadas con la tecnología emergente. ISACA ofrece las claves para mitigar y abordar los riesgos corporativos en 2020.

Más de la mitad de las empresas a nivel mundial reconocen que los niveles de riesgo de su organización han aumentado en los últimos doce meses, según una nueva investigación de ISACA, CMMI Institute y Infosecurity Group.

El informe, que se titula “El estado de la gestión del riesgo empresarial 2020”, revela que solo el 29% de los profesionales de seguridad encuestados tiene un alto grado de confianza en que su empresa puede predecir con precisión el impacto de las amenazas y vulnerabilidades asociadas con las tecnologías emergentes. Además, solo el 31% creen que sus compañías pueden responder rápidamente cuando se identifican nuevas amenazas, una dinámica problemática dado el rápido ritmo al que se producen hoy los cambios empresariales y tecnológicos.

Según los participantes, las categorías más críticas son la ciberseguridad, mencionada por el 29%; la reputación, citada por el 15%, y los riesgos financieros, identificados por el 13%.

En el documento también se identifican los cinco principales retos a la hora de gestionar los riesgos asociados a la seguridad. Éstos están relacionados con la rapidez a la que avanza la tecnología, la evolución de las amenazas y una mayor cantidad de ataques que, además, son cada vez más frecuentes. Además, se evidencia que una escasez de personal con competencias en el ámbito así como que los empleados del área carecen de habilidades que hoy son necesarias.

Ese mismo estudio apunta hacia una posible desconexión entre la gestión y la gobernanza de las empresas en lo referente a los riesgos. Los encuestados señalan que, de media, la alta dirección sólo es informada trimestralmente sobre el riesgo de ciberseguridad, a veces incluso menos. Los directores de seguridad de la información (CISOs) son informados con mucha más frecuencia, y el 70% dice que recibe actualizaciones al menos una vez al mes. Esta brecha de conocimiento es una oportunidad clave para que los CISO expandan su visibilidad a nivel de gobernanza.

También señalan que las empresas adoptan procesos de identificación de riesgos pero es infrecuente que los optimicen. En este sentido, dos tercios han definido procesos para la identificación de riesgos, pero solo el 38% cree que esos procesos están llegado a tener un gran nivel de madurez. “Esta tendencia de alta adopción y baja optimización pone de relieve que hay una gran necesidad de acción y mejora”, dice el documento.

Por otro lado, todas las regiones indican que se enfrentan un amplio espectro de amenazas de ciberseguridad y, además, éstas son distintas en función de cada geografía y sector. Por ejemplo, los encuestados de Asia e India informan más ataques de estado nación que los de América del Norte, Oceanía y Europa.

En lo que respecta a cómo manejan las consecuencias de un problema, solo el 43% de las empresas encuestadas emplean seguros como control de mitigación. Las organizaciones en América del Norte y África son las que más adoptan los seguros, y América Latina es la más baja.

Cinco pasos para mitigar y abordar los riesgos
1. Utilizar las tendencias y la tecnología actuales para predecir resultados futuros

Por ejemplo, la trayectoria de cloud (tanto sus dinámicas de adopción como el riesgo que introduce) puede servir como referente para otras tecnologías en el futuro. En este sentido, explica que ofrece un valor increíble, aunque inicialmente creó riesgos y nuevos retos. Una buena gestión de los riesgos ayuda a contribuya a garantizar que el valor exceda el riesgo, y lo mismo ocurre con nuevas tecnologías emergentes.

2. Definir claramente el riesgo
Para las empresas que quieren llegar a un estado de madurez en su gestión de riesgos, es particularmente importante refinar y definir claramente su nivel de tolerancia riesgo para avanzar en este ámbito.

3. Conocer su negocio
No hay dos compañías iguales y su nivel de riesgo tampoco es el mismo. Por ejemplo, el riesgo operativo es significativamente más difícil de pronosticar dentro de la empresa de fabricación que en empresas de otros sectores. La ciberseguridad y el riesgo tecnológico, por el contrario, son los más difíciles (por un amplio margen) de pronosticar para las compañías de servicios financieros.

4. Eliminar los silos
Todos los actores que forman parte del ecosistema de una empresa tendrán diferentes prioridades en lo que respecta al riesgo. Eso significa que habrá que adoptar un enfoque equilibrado para garantizar que se tienen en cuenta las diferentes perspectivas, y que se puedan abordar, dentro de sus planes de mitigación de riesgos.

5. Establecer expectativas. Las expectativas claras y directas sobre la tolerancia al riesgo, junto con la orientación a los tomadores de decisiones sobre el riesgo, pueden contribuir en gran medida a optimizar el riesgo para la empresa a largo plazo.