Superar el riesgo cibernético

POR KRM - ERM & IT CONSULTANT

La transformación digital de las operaciones empresariales ha expuesto a las organizaciones

a un espectro creciente de amenazas cibernéticas. Aunque la adopción tecnológica ha impulsado la innovación, también ha ampliado la superficie de ataque. La Cumbre Virtual de Riesgo Cibernético 2024 de Diligent reunió a más de 3.300 profesionales a nivel global y reveló la necesidad urgente de replantear la manera en que gestionamos y comunicamos el riesgo cibernético.

Este artículo explora los hallazgos de la cumbre y presenta estrategias accionables para afrontar los desafíos más urgentes de la gestión actual de riesgos tecnológicos actuales.

LA FALTA DE VISIBILIDAD DEBILITA LA CIBERSEGURIDAD

Uno de los hallazgos más destacados fue que más del 80% de los encuestados indicaron tener una visibilidad insuficiente en tiempo real sobre la exposición cibernética de su organización. Estas brechas dejan a las organizaciones vulnerables, reactivas y poco preparadas para detectar y mitigar amenazas con agilidad.

Lograr una conciencia situacional en tiempo real requiere plataformas integradas que ofrezcan una visión unificada del riesgo en toda la organización. Con estos sistemas, logramos que las organizaciones puedan pasar de la reacción ante incidentes a la defensa proactiva.

LAS AMENAZAS IMPULSADAS POR IA DOMINAN EL PANORAMA

La inteligencia artificial (IA) es una fuerza transformadora en la ciberseguridad, utilizada tanto por los defensores como por los atacantes. En América y Asia–Pacífico (APAC), los ataques cibernéticos impulsados por IA fueron clasificados como la principal amenaza para 2025. Estas amenazas avanzadas pueden evadir los métodos tradicionales de detección, adaptarse en tiempo real y explotar debilidades sistémicas a gran escala.

Estamos convencidos que los equipos de ciberseguridad deben contrarrestar esto con herramientas de defensa habilitadas por IA, que incluyan análisis de comportamiento, detección de anomalías y respuesta automatizada. Sin embargo, la tecnología debe ir acompañada de capacitación continua y preparación basada en escenarios.

EL CONSEJO DIRECTIVO NO COMPRENDE EL RIESGO CIBERNÉTICO

Un preocupante 43% de los profesionales de ciberseguridad creen que sus Consejos directivos no tienen un conocimiento sólido sobre la postura de riesgo cibernético de la organización. Esta desconexión crea vulnerabilidades críticas, por lo que los consejos mal informados no pueden asignar recursos adecuadamente ni responder con eficacia en caso de crisis.

La educación es clave. Se deben priorizar programas de formación continua para los miembros del Consejo, enfocados en el impacto financiero, el daño reputacional y las implicaciones normativas. En regiones como la Unión Europea, marcos como NIS2 y DORA exigirán una participación activa del Consejo en temas de ciberseguridad. Un gran reto para Latinoamérica.

CUMPLIMIENTO Y EFICIENCIA OPERACIONAL: UN EQUILIBRIO NECESARIO

Los marcos normativos son cada vez más complejos, especialmente en regiones como Europa, Medio Oriente y África (EMEA). Menos del 6% de las organizaciones se sienten completamente preparadas para cumplir con NIS2 y DORA. El principal reto: asignar recursos y presupuesto para el cumplimiento sin afectar la eficiencia.

Una estrategia de cumplimiento inteligente requiere una alineación temprana entre los equipos legales, de cumplimiento y de seguridad informática. El uso de plataformas integradas como diligent one y herramientas de automatización puede reducir la carga administrativa y garantizar la preparación ante auditorías.

LA ALINEACIÓN DEL LIDERAZGO ES CLAVE

La alineación entre funciones, especialmente entre el CISO y el director Jurídico (GC), es un factor crítico de éxito. En casi todas las regiones, 8 de cada 10 encuestados indicaron que estos roles no están completamente alineados. Esta desconexión obstaculiza la comunicación de riesgos, la preparación legal y la ejecución de estrategias cibernéticas.

Para fortalecer esta alineación, el CISO debe presentar el riesgo cibernético en términos de continuidad del negocio, mientras que el GC debe comprender lo suficiente de los aspectos técnicos para evaluar la exposición normativa. La colaboración periódica y los marcos integrados de reporte son esenciales.

ESTANDARIZAR LOS REPORTES: UNA NECESIDAD PARA EL CONSEJO

Solo el 11% de las organizaciones encuestadas cuentan con plataformas GRC completamente integradas en sus procesos. Como resultado, muchos Consejos reciben reportes fragmentados, demasiado técnicos o desactualizados, lo que dificulta la toma de decisiones estratégicas.

Reportes estandarizados, claros y centrados en tendencias, exposición y acciones recomendadas, empoderan al Consejo para actuar con mayor seguridad. Las actualizaciones frecuentes deben convertirse en una práctica habitual, no en una formalidad trimestral.

DE LO REACTIVO A LO RESILIENTE

La gestión del riesgo cibernético ya no es responsabilidad exclusiva del área de TI. Es un tema estratégico que involucra a toda la organización. Se requiere inversión en visibilidad en tiempo real, educación para el Consejo y una fuerte alineación entre los líderes funcionales para anticipar y superar las amenazas.

Buscamos la adoptación de plataformas integradas, estandarizando y automatizando la comunicación y fomentando la colaboración entre equipos, las organizaciones pueden pasar de una postura reactiva a una gobernanza resiliente. A medida que evolucionan las amenazas, también deben evolucionar las personas, procesos y plataformas que protegen nuestro futuro digital.