Las amenazas a la ciberseguridad aumentaron para las empresas durante el año pasado, arroja una encuesta del Wall Street Journal entre profesionales del cumplimiento.
Nueve de cada 10 empresas dijeron que los riesgos de ciberseguridad aumentaron, y casi la mitad dijo que el riesgo se había disparado sustancialmente. Casi todas las empresas medianas -con ingresos de entre 50 millones y mil millones de dólares- dijeron sentir que las amenazas cibernéticas habían aumentado.
The Wall Street Journal encuestó cerca de 300 profesionales del cumplimiento entre el 13 de febrero y el 11 de marzo. Más de las tres cuartas partes tenían su sede en EU y alrededor del 4% en Canadá. Aproximadamente el 36% de los encuestados trabajaba en el sector de servicios financieros, mientras que el 13% trabajaba en servicios profesionales y empresariales y alrededor del 9% en el sector tecnológico.
Otras áreas importantes de preocupación entre los profesionales del cumplimiento que encuestamos incluyeron el escrutinio y cumplimiento regulatorio, citado por el 78%; y la digitalización de su negocio, citado por el 71%.
Varios hackeos de alto perfil y cambios regulatorios en los últimos meses han elevado los riesgos para las empresas. En septiembre, el operador de casinos MGM Resorts International deshabilitó algunos de sus sistemas computacionales después de que un ciberataque afectó las operaciones de hoteles y casinos. En febrero, los atacantes lograron ingresar a la unidad Change Healthcare de UnitedHealth Group, un ataque de ransomware que paralizó partes vitales del sistema de salud de EU.
Estados Unidos también ha aumentado la presión sobre las empresas para que comuniquen más rápidamente las violaciones cibernéticas. A partir de diciembre, la Comisión de Bolsa y Valores (SEC) exigió a las empresas que revelaran los ataques cibernéticos a la SEC a más tardar cuatro días hábiles después de determinar que el incidente tendrá un impacto material en las operaciones. Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EU publicó en marzo un borrador de reglas sobre cómo las empresas de infraestructura crítica tendrían que informar sobre ciberataques importantes en un plazo de 72 horas y pagos de rescate en un plazo de 24 horas.
¿Listo para responder?
Al mayor riesgo cibernético lo acompaña un aumento en la incertidumbre sobre la capacidad de los departamentos de cumplimiento de las empresas a responder a las amenazas inminentes.
Casi la mitad de los encuestados sobre cumplimiento dijo sólo tener un nivel básico o principiante de experiencia en la supervisión del cumplimiento relacionado con la ciberseguridad. Sólo el 8% se consideraba experto.
La necesidad de contar con personal para manejar las amenazas cibernéticas entrantes también pesa en la mente de los profesionales del cumplimiento. Alrededor del 35% de los encuestados dijo que un número insuficiente de empleados era un reto que enfrentaba el programa de cumplimiento cibernético de su empresa, mientras que 31% citó la necesidad de mantenerse al día con los cambios regulatorios en materia de ciberseguridad y el 23% la falta de habilidades necesarias.
Los profesionales del cumplimiento también dicen que la ciberseguridad fue el área más importante en la que han tenido que desarrollar sus habilidades. Casi siete de cada 10 encuestados señalaron que habían necesitado adquirir conocimientos en esta área durante el último año.
A pesar de estos desafíos, el 90% indicó que su programa de cumplimiento de ciberseguridad era al menos algo efectivo. Sólo el 2% calificó su programa de “muy ineficaz”.
Crecen preocupaciones geopolíticas
Con la actual guerra entre Rusia y Ucrania, la continua tensión entre Estados Unidos y China y, más recientemente, el conflicto entre Israel y Gaza que agita los mercados de materias básicas y de exportación, queríamos saber cómo afectaban los riesgos geopolíticos la capacidad de los profesionales del cumplimiento para hacer su trabajo.
Casi dos tercios de los encuestados en general dijeron que los riesgos comerciales atribuibles a preocupaciones geopolíticas han aumentado desde el año pasado. Entre los factores geopolíticos que impactaron el trabajo de los profesionales del cumplimiento, el 43% de los encuestados citó el conflicto entre Rusia y Ucrania. Esto fue particularmente grave para aquellos de las empresas más grandes -aquellas con más de mil millones de dólares en ingresos- al más de la mitad (54%) decir que la guerra entre Rusia y Ucrania estaba impactando su trabajo.
La guerra en Ucrania y los posteriores paquetes de sanciones destinados a castigar a Rusia han impactado las ya emproblemadas cadenas de suministro del mundo. El conflicto ha cortado rutas comerciales aéreas y terrestres, afectado los suministros que dependían de componentes fabricados en Rusia y Ucrania y restringido gravemente las exportaciones de materias básicas de ambos países.
Las tensiones económicas entre Estados Unidos y China y los ciclos electorales en las regiones donde operan su negocio les siguieron de cerca como impactos citados por los encuestados, con alrededor del 39% y el 37%, respectivamente. En los últimos años, las empresas estadounidenses en China se han sentido presionadas por tensiones geopolíticas, conflictos comerciales y cambios políticos internos.
La guerra de Gaza estaba más abajo en la lista de preocupaciones, citada por aproximadamente el 20% de los encuestados como un riesgo que afectaba su trabajo.
Lidian profesionales del cumplimiento con la IA
Nuestro estudio también sugirió que, si bien la inteligencia artificial es un tema de interés para los profesionales del cumplimiento, la mayoría aún no la ha utilizado como parte de sus esfuerzos de cumplimiento. Poco más de un tercio de los encuestados dijo estar utilizando herramientas de inteligencia artificial para el cumplimiento, en comparación con el 46% que respondió que aún no las estaban usando, pero que planeaba hacerlo en el futuro.
Aproximadamente uno de cada cinco señaló que no tenía planes de utilizar la IA en materia de cumplimiento. A pesar del auge de ChatGPT y otras formas de IA generativa en la mente del público, muchas empresas aún están adoptando un enfoque de esperar y ver qué pasa con la tecnología en todas sus formas.
Pese a ello, el uso de la IA está en el horizonte, dicen los profesionales del cumplimiento que encuestamos. Sólo aproximadamente uno de cada 10 de los profesionales del cumplimiento de las empresas más grandes indicó no tener planes de utilizar la IA para sus esfuerzos de cumplimiento en el futuro, en comparación con aproximadamente dos de cada 10 de los que trabajan para pequeñas y medianas empresas.
De quienes utilizan la IA, el 45% mencionó que la usaba para detectar deficiencias de control, mientras que el 44% dijo que la empleaba para ciberseguridad.