Las amenazas a la ciberseguridad aumentaron para las empresas durante el año pasado, según una encuesta del Wall Street Journal entre profesionales de cumplimiento.
Nueve de cada 10 empresas dijeron que los riesgos de ciberseguridad aumentaron, y casi la mitad dijo que el riesgo se disparó sustancialmente. Casi todas las medianas empresas (aquellas con ingresos de entre 50 millones y 1.000 millones de dólares) dijeron que sentían que las amenazas cibernéticas habían aumentado.
El Wall Street Journal encuestó a alrededor de 300 profesionales de cumplimiento entre el 13 de febrero y el 11 de marzo. Más de las tres cuartas partes tenían su sede en los EE. UU. y alrededor del 4% en Canadá. Alrededor del 36% de los encuestados trabajaba en el sector de servicios financieros, mientras que alrededor del 13% trabajaba en servicios profesionales y empresariales y alrededor del 9% en el sector tecnológico. (Para obtener detalles adicionales sobre la metodología de la encuesta, desplácese hasta el final del artículo).
Otras áreas importantes de preocupación entre los profesionales de cumplimiento que encuestamos incluyeron el escrutinio y cumplimiento regulatorio, citado por el 78%; y la digitalización de su negocio, citado por el 71%.
Varios hackeos de alto perfil y cambios regulatorios en los últimos meses han aumentado los riesgos para las empresas. En septiembre, el operador de casinos MGM Resorts International cerró algunos de sus sistemas informáticos después de que un ciberataque afectara las operaciones de hoteles y casinos. En febrero, los atacantes lograron ingresar a la unidad Change Healthcare de UnitedHealth Group, un ataque de ransomware que paralizó partes vitales del sistema de salud de Estados Unidos.
Estados Unidos también ha aumentado la presión sobre las empresas para que comuniquen más rápidamente las violaciones cibernéticas. A partir de diciembre, la Comisión de Bolsa y Valores exigió a las empresas que revelaran los ataques cibernéticos a la SEC a más tardar cuatro días hábiles después de determinar que el incidente tendrá un impacto material en las operaciones. Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. publicó en marzo un proyecto de reglas sobre cómo las empresas de infraestructura crítica tendrían que informar sobre ciberataques importantes en un plazo de 72 horas y pagos de rescate en un plazo de 24 horas.
La diversidad y la inclusión, otro tema candente con el que las empresas lucharon en los últimos años, estaba más abajo en el radar de los profesionales de cumplimiento. Aproximadamente un tercio de las empresas dijeron que consideraban estos problemas como un mayor riesgo en comparación con el año anterior, el cambio más pequeño de este tipo en nuestra muestra.
Las iniciativas de diversidad, equidad e inclusión en los últimos años han sido un área importante de atención para las empresas, que describieron detalladamente sus actividades en esta área en informes anuales y las elogiaron en declaraciones públicas. Pero si bien muchas empresas afirman que no están recortando estos programas, algunas se han retractado de lo ruidosamente que los han promocionado en público, ya que dichos programas se han visto bajo una creciente amenaza legal y política. Otros están abandonando algunas prácticas, como el uso de objetivos numéricos que pueden verse como “cuotas” o el entrenamiento de prejuicios inconscientes que algunos ven como echar culpas.
