CiberseguridadLa inversión en ciberseguridad no es inmune a los recortes presupuestarios generales que empresas e infraestructuras están acometiendo ante una expectativa de caída de los ingresos por la incertidumbre económica. Según Fitch, esto podría aumentar el riesgo de ataques, siendo las pequeñas y medianas empresas de los sectores no regulados y de menor margen las más expuestas.

El gasto en ciberseguridad suele considerarse un coste añadido más que un gasto empresarial esencial, con una métrica de retorno de la inversión difícil de cuantificar, a diferencia de otros tipos de gasto e inversión. Sin embargo, un ciberataque conlleva muchas pérdidas fácilmente identificables, como la interrupción de la actividad, los análisis forenses, la reparación, las sanciones económicas y los riesgos no cuantificables, como el daño a la marca”, advierte la agencia.

Los continuos cambios tecnológicos y el ingenio de los atacantes supondrán “un reto constante” para las organizaciones a la hora de proteger los sistemas centrales y la información sensible. “Las instituciones con deficiencias en las asignaciones presupuestarias pueden tener más dificultades para responder o prevenir los ciberataques si se ven relegadas a centrarse en el gasto en dólares en lugar de en los resultados de seguridad”, apunta Fitch.

Más que dinero, cultura empresarial

Señala que un gran presupuesto cibernético no se traduce necesariamente en una mejor ciberseguridad. “Una mejor medida de la salud de la ciberseguridad es una evaluación cualitativa de un programa de ciberseguridad. Un buen programa de seguridad se caracteriza por una cultura transparente con la supervisión de la Junta Directiva y de la Dirección, la responsabilidad y la formación de los empleados, así como la resistencia operativa”, reseña Fitch.

Según una encuesta realizada por la Asociación de Auditoría y Control de Sistemas de Información de Estados Unidos, solo el 42% de las empresas miembro calificó sus presupuestos de ciberseguridad como adecuadamente financiados y un 63% informó de puestos no cubiertos. Solo el 41% realizó evaluaciones anuales de ciberriesgos.

Entre las lagunas notables en materia de ciberseguridad se encuentran la implementación de controles de seguridad, la codificación, el desarrollo de software y los temas relacionados con los datos y las redes.

El ecosistema digital interconectado ha puesto de manifiesto la vulnerabilidad de las cadenas de suministro y la importancia crítica que tiene para una empresa la gestión del riesgo de los proveedores de tercera y cuarta parte. “El cambio a modelos híbridos de trabajo desde casa y las continuas adaptaciones necesarias para mantener las mejores prácticas de ciberseguridad requerirán adaptaciones adicionales de seguridad y asignaciones presupuestarias”, concluye la agencia.