Las empresas cambiaron rápidamente para mantener su funcionamiento durante la pandemia, desde adaptarse al trabajo a distancia y ajustar la cadena de valor hasta apoyarse en gran medida en las plataformas digitales. Sin embargo, lo anterior ha abierto oportunidades de fraude y robo de información por parte de cibercriminales.
Ante la pandemia de COVID-19 han aumentado los ataques cibernéticos mediante correos electrónicos de phishing, ventas de kits falsos de pruebas de COVID-19, portales falsos de reembolso del gobierno e incluso ataques de ransomware contra hospitales para extorsionarlos económicamente. Esto pone a prueba los modelos operativos temporales y de largo plazo, en un entorno empresarial en el que todas las actividades se realizan a distancia, impulsados en gran medida por la tecnología de la información (TI), por lo que es necesario un enfoque con amplia atención en la seguridad cibernética.
A pesar de que los sistemas de seguridad y la privacidad de datos han sido una de las principales inversiones durante la crisis sanitaria, cuatro de cada diez líderes de TI reportan que sus empresas han experimentado más ataques cibernéticos; 83% de phishing y 62%, de malware.1
Las empresas que brindaron flexibilidad con exenciones de seguridad, y que aumentaron su presencia en línea como parte de su respuesta inmediata ante la contingencia, ahora deberán adaptar sus controles de seguridad y de antifraude para asegurar los beneficios a largo plazo de esos cambios digitales.
Por ejemplo, es posible que una organización que confiaba la seguridad en sus instalaciones físicas, la supervisión del talento o del uso de TI controlada en su red interna, ahora deba reconsiderar su enfoque de ciberseguridad y utilizar una combinación distinta de controles de seguridad de protección y detección con el fin de permitir el uso de dispositivos personales y redes que no sean confiables, incluidas las plataformas y herramientas de colaboración digitales.
El trabajo a distancia llegó para quedarse; 86% de los líderes de TI trasladaron una parte significativa de su fuerza laboral al trabajo a distancia y 43% espera que más de la mitad de su personal trabaje desde casa después de la pandemia. 1
Otro punto a considerar es que los controles de seguridad en las redes domésticas de TI de los colaboradores suelen ser menos seguras que las de un entorno corporativo. Aunque permitir que la plantilla use sus propios dispositivos puede ser práctico y eficiente, también existen riesgos que se deben gestionar y mitigar de manera activa.
Adicionalmente, la transición a los canales digitales con creciente número de transacciones y de valor económico, está atrayendo la atención de los cibercriminales. La seguridad de las plataformas de pago digital, los datos de los clientes y la propiedad intelectual deben ser una alta prioridad en la nueva realidad.
De acuerdo con la encuesta CIO Survey 2020 de Harvey Nash y KPMG, las empresas gastaron alrededor de USD 15,000 millones (mdd) adicionales a la semana en tecnología durante la primera ola de la pandemia. Las tres principales inversiones frente a la nueva realidad fueron: seguridad y privacidad (47%), la experiencia y el compromiso con el cliente (44%); y la inversión en infraestructura y la nube (35%).
A medida que las compañías transitan de la respuesta, la resiliencia, a la etapa de recuperación y nueva realidad para el negocio, trasformando su modelo operativo, el Consejo de Administración deberá enfocarse en las siguientes actividades clave:
1. Proporcionar al personal herramientas, tecnologías y capacitación para llevar a cabo sus actividades en un entorno empresarial a distancia. Es relevante que los consejeros se pregunten: ¿Cómo será el futuro del trabajo? ¿Hay una estrategia para identificar los modelos de trabajo a distancia y las tecnologías de las que la empresa dependerá a futuro, incluida la capacitación y concientización sobre seguridad cibernética para el talento?
2. Incorporar la ciberseguridad y el gobierno corporativo de datos a los esfuerzos de transformación digital. Por ejemplo, la transición a los servicios en nube ofrece la oportunidad de incorporar controles de seguridad. La seguridad debe ser una parte integral del desarrollo de nuevas aplicaciones y sistemas, en lugar de algo improvisado y un posible obstáculo para la transformación ágil que muchas empresas tendrán que impulsar para seguir siendo viables en la nueva realidad
3. Mantener las habilidades, recursos e inversiones en TI que se requieren para seguir el ritmo de los desafíos de ciberseguridad. En muchos sectores, la función de seguridad permanecerá bajo presión para reducir costos junto con el resto del negocio. ¿La empresa ha considerado oportunidades para automatizar sus procesos de seguridad? ¿Cuál es el modelo de presupuesto adecuado para la seguridad a futuro?
4. Reforzar los protocolos de seguridad cibernética del Consejo. Además de contar con mayor vigilancia en la seguridad de las reuniones y comunicaciones del Consejo, el uso de correo electrónico, dispositivos personales o software no autorizado por parte de los consejeros para llevar a cabo sus actividades, pueden presentar riesgos graves para la seguridad cibernética. ¿El asesor jurídico o el director de seguridad de la información han orientado al Consejo sobre los protocolos de ciberseguridad que se aplican para ellos y los colaboradores en el contexto del nuevo entorno operativo?
En la nueva realidad es probable que las organizaciones con modelos digitales robustos, con conectividad de la fuerza laboral, y operaciones y perspectivas basadas en datos, obtengan mejores resultados. Sin embargo, a largo plazo, esa ventaja dependerá de la seguridad subyacente y el enfoque digital del negocio.
[1] CIO Survey, Harvey Nash, KPMG International, 2020
Jesús Luna
Socio Líder de Private Enterprise
KPMG en México
Rommel García
Socio de Asesoría en Ciberseguridad
KPMG en México
Contáctenos
- Encontrar ubicación de oficinas kpmg.findOfficeLocations
- kpmg.emailUs
- Redes sociales @ KPMG kpmg.socialMedia