Según el informe EY Global Cybersecurity Leadership Insights 2023, basado en una encuesta a 500 empresas de 25 países, las organizaciones se enfrentan a una media de 44 incidentes de ciberseguridad al año y los tiempos de detección y respuesta son lentos. Así, tres cuartas partes de las empresas tardan una media de seis meses o más en detectar y responder a un incidente. En este contexto, el coste económico de los ataques y las repercusiones, financieras, regulatorias y de reputación, aumenta constantemente.
La ciberseguridad ya forma parte de la agenda de los Comités de Dirección y en los Consejos de Administración de las grandes corporaciones. La creciente presencia de la tecnología, así como el incremento de los riesgos hace imprescindible una correcta identificación y gestión de los mismos. Por ello, en 2004 asistiremos a una mejora de la formación de los equipos directivos, así como a un aumento de la presencia de los asuntos relacionados con la ciberseguridad en los órganos de gobierno de las empresas.
A todas luces, parece que la inteligencia artificial (IA) se antoja como el más novedoso cambio en la economía para los próximos años y será una tecnología muy útil para mejorar las capacidades de detección y prevención de amenazas cibernéticas., No obstante, el gran desafío será conseguir que el despliegue de la inteligencia artificial sea seguro y confiable para intentar evitar los problemas que un mal uso puede aprovechar. En este sentido, la gran apuesta para el año 2024 es la regulación sobre el uso de la IA. La Unión Europea, que a principios de diciembre ha aprobado la primera regulación del mundo sobre IA, va encaminada a definir el uso autorizado de esta tecnología y los usos prohibidos, además de definir los aspectos de gestión de sus riesgos para dar garantías a los ciudadanos. La supervisión de estos aspectos será definitiva para asegurar el cumplimiento en todas las organizaciones y será determinante de cara al desarrollo de la IA tanto en Europa como en el resto del mundo.
Otro aspecto relevante en los próximos meses es la situación de inestabilidad geopolítica que se vive tanto en Europa con el resto del mundo y que representa una situación de riesgo para las empresas con presencia o intereses internacionales. Debido a esta situación las organizaciones están incrementando el consumo de servicios de ciberinteligencia.
Además de este contexto novedoso, prevalecen situaciones sobre las que es necesario seguir prestando atención, como son los riesgos de la cadena de suministro, la migración a la nube o la ciberseguridad de los entornos industriales (OT).
En este sentido, la seguridad de la cadena de suministro representa un punto relevante de atención en las organizaciones, puesto que cada vez son más numerosos los proveedores y terceros que forman parte o interactúan con las infraestructuras de las organizaciones, aumentando las posibilidades potenciales de sufrir un incidente que pueda trasmitir consecuencias a sus clientes. Estas situaciones harán que en los próximos meses las organizaciones tengan que analizar con mayor rigor la ciberseguridad de sus proveedores y apostarán por aquellos que puedan demostrar que cumplen con los estándares requeridos.
Además, será fundamental analizar el impacto que estos proveedores pueden representar en la garantía de resiliencia operativa que precisan las organizaciones más críticas. De hecho, según el informe EY Global Cybersecurity Leadership Insights 2023, las cadenas de suministro, responsables del 62% de los incidentes de intrusión en sistemas en los últimos años, se revelan como uno de los frentes más vulnerables para las empresas.
Otros factores que se van a trabajar con mayor intensidad en los próximos meses son la seguridad de la gestión de los procesos y operativa de las compañías en la nube. En este sentido, se mantendrá la tendencia de servicios especializados de seguridad en estas infraestructuras y la protección de los datos que almacenan.
La ciberseguridad de los entornos industriales (OT) sigue avanzando y se continuarán desplegando tecnologías de protección para sectores clave o especialmente sensibles como la energía, la electromedicina o la fabricación más innovadora.
Pero sin duda, el año 2024 va a suponer una evolución del marco regulatorio europeo en materia de ciberseguridad y resiliencia, ya que van a desarrollarse diferentes directivas europeas encaminadas a armonizar la seguridad que las empresas establecen en sus procesos, cada vez más digitales. Hasta ahora, las regulaciones se gestionaban de forma muy local o estatal, dificultando así la convivencia de empresas que prestan servicios a nivel internacional. Ahora el desafío es que las normas en este campo se consensuen, al menos, a nivel europeo para favorecer precisamente la globalización de las organizaciones y su presencia internacional.
Estas regulaciones tienen pretensiones ambiciosas en términos de supervisión para garantizar su implantación. Todo apunta a que será su carácter sancionador lo que el que impulsará su aplicación en las organizaciones.
En todo caso, el mayor inconveniente con el que las compañías se van a encontrar en los próximos meses es la falta de capacitación suficiente en ciberseguridad para poder implementar las capacidades de defensa necesarias en un contexto en el que cada vez los ciberincidentes son más frecuentes. En 2024 será necesario incorporar este talento en su gestión de los riesgos, así como en la implementación de medidas para hacer frente a posibles ataques.
En definitiva, nos encontramos en un momento convulso en el que el que proliferan los riesgos en materia de ciberseguridad. Esta tendencia se acentuará en los próximos meses como consecuencia de la eclosión de la inteligencia artificial lo que, unido a inestabilidad geopolítica y a la nueva regulación, se esperan grandes desafíos para los que conviene estar preparados.
Publicado en Diario Sur