Más de la mitad (52%) de los profesionales de ciberseguridad están experimentando un aumento en los ciberataques en comparación con el año pasado, según una nueva investigación de ISACA. A pesar del aumento en los ataques, las empresas no evalúan regularmente el riesgo cibernético, con menos de una de cada diez (8%) organizaciones completando evaluaciones de riesgo cibernético mensualmente y solo dos de cada cinco (40%) llevándolas a cabo anualmente.

A medida que las empresas enfrentan desafíos más complejos, incluyendo regulaciones en evolución, una fuerza laboral híbrida y avances tecnológicos, necesitan no solo comprender el panorama de riesgos cambiante, sino también tener programas de gestión de riesgos sólidos para mantener sus organizaciones seguras contra los ciberataques.

Para ayudar, hemos compilado una lista de estadísticas que subrayan la importancia de la gestión de riesgos. Aprenderás más sobre cuáles son los principales riesgos según los ejecutivos, los crecientes costos del riesgo interno, la mayor exposición al riesgo de terceros, y más.

Estadísticas de gestión de riesgos

Las estadísticas a continuación proporcionarán más información sobre el panorama de riesgos, así como diferentes tipos de gestión de riesgos, incluyendo el riesgo de terceros y el riesgo interno.

Estadísticas del panorama de riesgos

El panorama de riesgos está en constante evolución. Mira qué riesgos están en la mente de los ejecutivos de riesgos y cómo ha cambiado su exposición al riesgo con el tiempo.

1. El 41% de las organizaciones informaron que experimentaron tres o más eventos de riesgo críticos en los últimos 12 meses. (Forrester)

2. En 2022, el 41% de las organizaciones que fueron atacadas en el último año dijeron que su exposición al riesgo ha aumentado. (Hiscox)

3. El 65% de los líderes financieros senior están de acuerdo en que el volumen y la complejidad de los riesgos corporativos han cambiado "en su mayoría" o "extensamente" en los últimos cinco años. (AICPA y Universidad Estatal de Carolina del Norte)

4. El 35% de los ejecutivos de riesgo dijo que el riesgo de cumplimiento y regulatorio, entre otros riesgos operativos, presenta la mayor amenaza para la capacidad de su empresa para impulsar el crecimiento. Otro 35% dijo que el riesgo cibernético o de información lo hacía. (PwC)

5. El 61% de los ejecutivos de riesgo dijo que las regulaciones de protección de datos y privacidad eran las mayores prioridades para su empresa en 2022. (PwC)

6. El crimen cibernético fue consistentemente evaluado como uno de los cinco principales riesgos por la mayoría de los ejecutivos de riesgo (58% y en aumento), ahora y en los próximos tres años. (McKinsey)

7. Los tres principales riesgos que más preocuparon a los CRO en una encuesta reciente de McKinsey fueron el impacto financiero directo, el daño a los clientes y el daño reputacional. Cada uno de estos riesgos fue clasificado en primer lugar por aproximadamente el 30 por ciento de los CRO que respondieron. (McKinsey)

8. La mala calidad de los datos fue reportada como el riesgo relacionado con los datos que más preocupaba al 58% de los ejecutivos de riesgo. (McKinsey)

Estadísticas del programa de gestión de riesgos

Muchas organizaciones tienen un programa de gestión de riesgos en marcha. Consulta las estadísticas a continuación para comprender qué desafíos enfrentan los profesionales de riesgos y en qué resultados se están enfocando.

9. Poco menos de dos tercios (63%) de los ejecutivos creen que los procesos de gestión de riesgos de su organización proporcionan "ninguna" o "mínima" ventaja competitiva. (AICPA y Universidad Estatal de Carolina del Norte)

10. Cuando se les pidió identificar los resultados más significativos que su empresa ya ha logrado con el uso de aplicaciones tecnológicas, el 57% de los profesionales de riesgos dijo que están viendo resultados significativos de “calidad”, incluidas mejores decisiones basadas en información de riesgos. (PwC)

11. Menos profesionales de riesgos dicen que están viendo resultados significativos de “eficiencia” tales como menores costos de cumplimiento (30%) y costos de personal (25%) como resultado de las aplicaciones tecnológicas. (PwC)

12. El 54% de los profesionales de riesgos quiere relaciones más fuertes con los ejecutivos senior para tener una mayor influencia. (PwC)

13. Los profesionales de riesgos citaron otras claves para mejorar la relevancia y ejercer mayor influencia en las decisiones estratégicas, incluyendo la mejora de habilidades de la fuerza laboral en tecnologías emergentes (47%), apoyo del liderazgo para la colaboración a través de las tres líneas, es decir, el CEO, la junta y los altos líderes (45%), infraestructura de datos y gobernanza más organizada (38%), y más presupuesto (37%). (PwC)

Estadísticas de respuesta a riesgos

Una parte clave de la gestión de riesgos es responder a los riesgos. Conozca qué procesos y planes tienen las organizaciones en marcha.

14. Casi tres cuartas partes de las organizaciones dijeron que tenían un plan de respuesta a incidentes (IR), mientras que el 63% de esas organizaciones dijo que probaban el plan regularmente. (IBM)

15. Las organizaciones con un equipo de IR que probaron un plan de IR ahorraron en promedio $2.66 millones en costos de violación en comparación con aquellas sin equipo de IR y pruebas de plan de IR, un ahorro del 58% en costos. (IBM)

16. Casi tres cuartas partes (75%) de los ejecutivos creen que habrá cambios significativos en el enfoque de su organización para la planificación de la continuidad del negocio y la gestión de crisis. (AICPA y Universidad Estatal de Carolina del Norte)

Estadísticas de gestión de riesgos de terceros

Casi todas las empresas hacen negocios con —o utilizan los productos de— un tercero que ha sufrido una violación de datos. Conozca más sobre la importancia de la gestión de riesgos de proveedores.

17. El 31% de los ejecutivos de riesgos dijo que el riesgo de terceros, entre otros riesgos operativos, representa la mayor amenaza para la capacidad de su empresa de impulsar el crecimiento. (PwC)

18. El 64% de las organizaciones declaró que la gestión de riesgos de terceros se consideraba una prioridad estratégica organizacional por parte de sus juntas directivas y equipos ejecutivos. (ProcessUnity y CyberGRX)

19. Más del 81% de las personas dijeron que podían cuantificar y comunicar el valor de su programa de gestión de riesgos de terceros a los líderes empresariales y partes interesadas. (ProcessUnity y CyberGRX)

20. El 98% de las organizaciones tienen relaciones con proveedores de al menos un tercero que ha experimentado una violación en los últimos dos años. (Cyentia Institute y SecurityScorecard)

21. El sector de TI tiene relaciones con más terceros, con un promedio de 25, mientras que el sector financiero tuvo el menor número, con 6.5. (Cyentia Institute y SecurityScorecard)

22. Las primeras partes tienen dos veces más probabilidades de alcanzar la calificación de seguridad más alta, mientras que los terceros

tienen cinco veces más probabilidades de exhibir una seguridad deficiente. (Cyentia Institute y SecurityScorecard)

Estadísticas de gestión de riesgos internos

A medida que crecen los costos de los riesgos internos, más organizaciones están invirtiendo en la gestión de riesgos internos. Conozca cómo las organizaciones están lidiando con los riesgos internos.

23. El costo anual promedio de un riesgo interno ha aumentado a $16.2 millones: un aumento del 40% en cuatro años. (DTEX Systems)

24. El número promedio de días para contener un incidente interno en 2023 ha aumentado a 86 días. (DTEX Systems)

25. Casi la mitad (46%) de las organizaciones están planeando aumentar su inversión en programas de riesgo interno en 2024. (DTEX Systems)

26. El 77% de las organizaciones han comenzado o están planeando iniciar un programa de riesgo interno. (DTEX Systems)

27. El 88% de las organizaciones gastaron menos del 10% de su presupuesto total de seguridad de TI en la gestión de riesgos internos. (DTEX Systems)

28. Las organizaciones tenían un presupuesto de seguridad de TI de $2,437 por empleado, pero solo el 8.2% se asignó específicamente a programas y políticas de riesgo interno. Eso equivale a $200 por empleado. (DTEX Systems)

29. El 91.8% del presupuesto de seguridad de TI se gastó en amenazas externas, a pesar de que más de la mitad de las organizaciones atribuyen la ingeniería social como una de las principales causas de todos los ataques externos. (DTEX Systems)

30. El 58% considera que el gasto actual en programas de riesgo interno es insuficiente y el 46% espera que la financiación aumente el próximo año. (DTEX Systems)

31. Solo el 10% del presupuesto de gestión de riesgos internos (en promedio $63,383 por incidente) se gastó en actividades previas al incidente, incluidas la supervisión y vigilancia y el análisis ex-post. El 90% restante (en promedio $565,363 por incidente) se gastó en actividades posteriores al incidente, con el mayor gasto en contención ($179,209 por incidente) y remediación ($125,221 por incidente). (DTEX Systems)

Cómo crear un plan de gestión de riesgos

Un plan de gestión de riesgos puede ayudarte a identificar, evaluar y mitigar riesgos. Aquí tienes una guía paso a paso sobre cómo crear uno.

1. Define el propósito.

Indica claramente el propósito de tu plan de gestión de riesgos. Este propósito debe incluir la definición de cómo se identificarán, analizarán y gestionarán los riesgos asociados con tu negocio o un proyecto específico y detallar cómo se realizarán, documentarán y supervisarán estas actividades.

2. Asigna roles y responsabilidades.

A continuación, asigna roles y responsabilidades a los interesados clave. Por ejemplo, puedes asignar a uno o varios propietarios del riesgo la responsabilidad de determinar qué riesgos requieren mitigación y planes de contingencia, crearlos y realizar un análisis de costo-beneficio para cada estrategia propuesta. También pueden ser responsables de monitorear y actualizar el estado del riesgo durante todo el ciclo de vida de la gestión de riesgos.

3. Define el proceso de identificación de riesgos.

Ahora es el momento de definir el proceso de gestión de riesgos, comenzando con cómo identificarás los riesgos. Enumera los factores que considerarás, como factores ambientales y la cultura organizacional, así como cualquier método que utilizarás, como un análisis FODA (fortalezas, oportunidades, debilidades y amenazas).

4. Define el proceso de evaluación y análisis de riesgos.

Explicar cómo evaluará la probabilidad e impacto de cada riesgo identificado y utilizará una matriz de riesgo o una metodología de puntuación para asignar valores cuantitativos o cualitativos a estos factores. Esto ayudará a priorizar los riesgos según su importancia. Riesgo = Probabilidad x Impacto.

5. Definir el proceso de planificación de la respuesta al riesgo.

Describir las estrategias que seleccionará al decidir cómo responder a cada riesgo identificado. Los resultados principales son aceptar, evitar, mitigar, transferir, y resolver. Además, es importante incluir los próximos pasos una vez que se haya seleccionado una estrategia de respuesta al riesgo. Por ejemplo, si opta por aceptar un riesgo mayor, se debe delinear un curso de acción en caso de que el riesgo se materialice para minimizar su impacto.

6. Definir el proceso de monitoreo y reporte de riesgo.

Finalmente, establecer un sistema para el monitoreo continuo de riesgos. Esto debería detallar quién es responsable de rastrear los riesgos existentes y nuevos, evaluar cualquier cambio en la probabilidad o impacto, evaluar la efectividad de la estrategia de respuesta al riesgo, y adaptarla si no lo es.

También debe desarrollar una estructura de reporte para mantener informada a la gerencia sobre cambios importantes en el estado de los riesgos o cualquier cambio en el perfil de riesgo de la organización.

7. Revisar y actualizar el plan y el rastreador de riesgo regularmente.

Surgirán nuevos riesgos, y los riesgos existentes evolucionarán con el tiempo, por lo que es crucial que revise y actualice periódicamente su plan de gestión de riesgos y los documentos de seguimiento para tener en cuenta los cambios en su entorno empresarial e industria.

Cómo puede ayudar Secureframe

Secureframe facilita la creación y el mantenimiento de procesos robustos de gestión de riesgos. Con nuestra solución integral GRC, puedes:

• Monitorizar riesgos 24/7: Obtén visibilidad completa de los problemas críticos de seguridad y privacidad con monitorización continua a través de tu stack tecnológico. 
• Rastrear riesgos en una sola plataforma: Mantén fácilmente un registro de riesgos completo y actualizado a medida que introduces nuevos productos y servicios, tu entorno tecnológico cambia o incorporas hallazgos de auditorías internas o externas. 
• Asignar responsables de riesgos: Asigna responsables de riesgos y configura recordatorios de notificación para revisar y actualizar los riesgos regularmente, asegurando la responsabilidad. 

Obtén más información sobre las funciones de gestión de riesgos de Secureframe y cómo podemos ayudarte a construir un fuerte programa de gestión de riesgos programando una demostración hoy mismo.