Más de la mitad de las empresas señalan que su exposición al riesgo está creciendo
- Endpoint
El 49% de las organizaciones encuestadas han implementado programas formales de gestión del riesgo. El 68% de las empresas ya integran factores como inteligencia de amenazas o estimación de pérdidas a la hora de priorizar riesgos, y el 97% reportan hallazgos de riesgo a la alta dirección.
Qualys ha hecho público un nuevo informe en el que analiza las declaraciones de más de 100 líderes de TI y ciberseguridad de todo el mundo en torno a la gestión de riesgos. El estudio arroja un panorama complejo, con hallazgos clave como el hecho de que el 71% de las organizaciones declara que su exposición al riesgo cibernético se mantiene o ha aumentado, a pesar de los crecientes presupuestos dedicados a seguridad.
El 49% de las organizaciones encuestadas han implementado programas formales de gestión del riesgo. De ellos, el 43% tienen menos de dos años de antigüedad, lo que indica una cierta madurez en este mercado. Sin embargo, el 51% señalan que su exposición al riesgo está creciendo, mientras que sólo un 6% de ellas asegura haberlo reducido.
En cuanto a la gestión de activos, se trata de un elemento considerado como clave en la gestión de riesgos, como pone de manifiesto el hecho de que un 83% de las empresas realizan inventarios de forma periódica, aunque solo un 13% de ellas los ejecuta de manera continua. Por otro lado, un 47% depende aún de procesos manuales. Esta carencia de automatización hace que más del 40% identifique los inventarios incompletos como uno de los principales obstáculos para gestionar el riesgo.
Respecto a las métricas de seguimiento, el 68% de las empresas analizadas ya integran factores como inteligencia de amenazas o estimación de pérdidas a la hora de priorizar riesgos. Pero casi un 20% continúa clasificando vulnerabilidades exclusivamente con puntuaciones técnicas como CVSS.
Comunicación del riesgo como aspecto clave
La comunicación con la dirección es una parte fundamental de la gestión de riesgos, ya que de ellos depende la aprobación de las políticas a seguir. Según el informe, el 97% de las organizaciones consultadas reportan hallazgos de riesgo a la alta dirección.
Los informes suelen incluir el nivel de riesgo organizacional (56%), el plan de ciberseguridad vigente (54%), amenazas críticas (48%) y riesgos cuantificados o puntuaciones de riesgo (42%). No obstante, apenas el 35% incorpora estimaciones del coste potencial para el negocio.
En este sentido, el informe concluye que el gran obstáculo no es la falta de herramientas, sino las carencias y retos a la hora de alinear las políticas de ciberseguridad con las prioridades del negocio, y recomienda evolucionar hacia escenarios integrados que expresen el riesgo en términos financieros para una toma de decisiones más alineada con el valor empresarial.
