Deloitte colabora cada año con la Fundación Borredá en la elaboración del Estudio de Seguridad Corporativa. ¿Qué resultados destacaría de la última edición, presentada en octubre?
Lo más importante es que nos proporciona una foto justo anterior a la pandemia, en la que se aprecian las tendencias de los últimos años. En este sentido, cabe destacar tres aspectos. Por un lado, la tendencia creciente del presupuesto dedicado a seguridad corporativa, que será necesario verificar cómo evoluciona tras la aparición de la pandemia.
En segundo lugar, el cambio del panorama de las amenazas que más preocupan, en las que se aprecia el incremento de los riesgos reputacionales y los ataques a sistemas de control respecto al estudio anterior, así como la disminución de la preocupación sobre terrorismo y fraude externo.
Por último, pero no menos importante, la creciente preocupación de las entidades por la regulación en seguridad, tanto por la complejidad del entorno regulatorio como por el impacto legal que pueden implicar los incidentes.
El estudio se elaboró antes de que estallara la pandemia de la COVID-19. ¿De qué manera cree que impactará la pandemia en la seguridad corporativa en el futuro?
Por un lado, la COVID-19 ha cambiado el panorama de amenazas ligado a la aceleración de la transformación digital, necesaria por la pandemia. La situación ha abierto escenarios nuevos que, mayoritariamente, han irrumpido para quedarse definitivamente, como el teletrabajo.
Además, como ya se está tratando a nivel nacional y europeo, el marco regulatorio, que ya se consideraba complejo, cambiará mediante la actualización de regulaciones (como la Directiva NIS, la regulación nacional asociada a la protección de infraestructuras críticas) y la elaboración de otras nuevas (como el reglamento de desarrollo del Real Decreto-Ley NIS o regulación europea asociada a la resiliencia operacional). Estas nuevas regulaciones, sin duda, se verán afectadas por la pandemia y su impacto en el cambio del entorno y sus amenazas.
Finalmente, se apreciará en la evolución del presupuesto dedicado a seguridad corporativa. El PIB se ha contraído de forma notable, lo que dificultará la posición económica de las entidades y, por consiguiente, el presupuesto dedicado de forma general. Sin embargo, la necesidad de protegerse frente al cambio de amenazas proveniente de esta transformación digital acelerada puede llegar a compensar en parte ese potencial descenso del presupuesto específico de seguridad.
¿Cómo está evolucionando la posición y capacidad ejecutiva de la seguridad corporativa en el organigrama de las empresas? ¿Qué tipo de compañías le otorgan más valor a la función de seguridad?
Tal y como se ha podido comprobar en el Estudio de Seguridad Corporativa, publicado por Deloitte y la Fundación Borredá, el reporte de la función de seguridad se realiza cada vez a un nivel más alto, incluyendo en su mayor parte al Consejo de Dirección, la Presidencia o la Dirección General. Este movimiento no solo viene dado por las exigencias que existen en ciertos sectores, relativas a mantener la independencia entre líneas de defensa y una involucración permanente de la alta dirección, sino por la potencial repercusión que puede tener un incidente en la operativa y reputación de la entidad.
“Un aspecto que irá en aumento en los próximos años serán los ciberseguros, los cuales permiten a las entidades transferir parte del riesgo”
Ligado a esto, cabe destacar que en ciertas entidades grandes no se aprecia el valor que aporta la función de seguridad, la identifican como un centro de costes o un requerimiento legal. Es fundamental trabajar en esto, dado que tener la percepción de que la función de seguridad tiene poco valor puede conllevar dificultades a la hora de obtener recursos para la protección y, como consecuencia, una mayor probabilidad de sufrir un incidente.
Las amenazas que más preocupan a la seguridad corporativa son las de carácter cibernético. ¿Cree que esa preocupación de los responsables de seguridad está en consonancia con la inversión y recursos que se proporciona a esta área?
La tendencia de los últimos años, y que continuará en los siguientes, es una rápida evolución hacia la transformación digital, que estará unida a la aparición de nuevas amenazas. Los recursos actuales son insuficientes en la mayor parte de las entidades, sobre todo una vez que se ha comprobado que aquellas entidades que más recursos han dedicado a la ciberseguridad han sido capaces de responder de forma mejor y más rápida frente a incidentes. Al contrario, las entidades que han dedicado recursos insuficientes han visto cómo su operativa se ha visto muy afectada y, en muchos casos, han tenido numerosas dificultades para volver a la normalidad.
En cualquier caso, y más aún en estos momentos de incertidumbre, es necesario dedicar de forma eficiente e inteligente los recursos, identificando los principales riesgos que afectan a las entidades y aprovechando las medidas que mejor los pueden mitigar.
¿Cómo cree que va a evolucionar en los próximos años el gobierno de la seguridad dentro de las compañías para abarcar tanto la seguridad tradicional como la ciberseguridad y otros aspectos como la resiliencia?
Dependerá del tipo y tamaño de la organización, así como de su tradición; pero lo que es indudable es que será necesario establecer unos mecanismos de coordinación cada vez más ágiles y efectivos, que permitan que las acciones de cada área responsable vayan orientadas en una misma dirección, y que las acciones se complementen entre ellas para alcanzar un nivel de protección adecuado.
De hecho, cada uno de estos ámbitos requiere de una especialización muy específica. Es muy distinto el conocimiento necesario para protegerse frente a amenazas físicas y ciberamenazas. Es por eso que, independientemente de la ubicación dentro del organigrama, será necesario tener personas con alto nivel de capacitación y responsabilidad en cada uno de estos ámbitos, aunque puedan estar en áreas o departamentos diferentes.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este contenido.
¿Quieres leer el contenido completo?