Empresas de Latinoamérica dan relevancia a los ciber riesgos pero tienen limitaciones para monitoreo e inteligencia de amenazas
La ciber seguridad es considerada componente muy importante dentro del modelo de gobierno y gestión de las empresas de América Latina, según una encuesta realizada a 150 firmas en la región por Deloitte y que muestra las tendencias para 2019.
La mitad de estas organizaciones se siente muy protegida, de hecho, 7 de cada 10 ha implementado un programa de concientización en ciber seguridad; sin embargo, 4 de cada 10 empresas sufrieron un incidente de ciber seguridad en los 2 años precedentes a la consulta y el 31% dice que cuentan con capacidades limitadas de monitoreo e inteligencia de amenazas.
El estudio de Deloitte “Tendencias en gestión de ciber riesgos y seguridad de la información en América Latina y Caribe 2019” señala que el 70% de las empresas afirma no tener certeza de la efectividad de su proceso de respuesta ante incidentes y sólo un 3% realiza simulaciones para probar sus capacidades efectivas de respuesta ante un evento ciber.
La digitalización de los negocios genera oportunidades pero también provoca amenazas, lo que se traduce en aumentos en los presupuestos, dicen. Según el reporte, solo un 31% realiza inteligencia de amenazas y comparte información con otras organizaciones, lo cual las ubica en un estadio inicial en cuanto al desarrollo de capacidades para enfrentar los riesgos.
Para Andrés Casas, Socio de Risk Advisory de Deloitte, la respuesta rápida y la preparación ante eventuales ataques obliga a las organizaciones a basar sus capacidades no solo en lo que sucede puertas adentro, sino que deben además comprender la realidad de las amenazas a la seguridad en general y en su industria.
El estudio también muestra que 7 de cada 10 organizaciones ha implementado un programa de capacitación y concientización a los colaboradores en ciber seguridad. Según Andrés Casas, Socio de Deloitte, los funcionarios del área de tecnología, la Alta Gerencia y los accionistas deben ser receptores importantes de esta formación pues a partir de ellos el manejo del tema se vuelve más estratégico.
Para Deloitte la función de gestión de ciber riesgos y seguridad de la información está evolucionando hacia un nuevo paradigma que incluye cuatro componentes centrales y estratégicos:
El Gobierno de la empresa, el cual establece la visión y estrategia, define roles y asigna responsabilidades.
Seguridad en todo, proteger la información y la tecnología presentes en todos los procesos de negocio con implementación de controles adecuados al riesgo y a las amenazas propias de la organización.
Cultura de vigilancia, donde todos están atentos a las amenazas y desarrollan la capacidad de detectar patrones de comportamiento que puedan predecir ataques a la información.
Resilencia, es decir, capacidad de controlar rápidamente el daño y movilizar los recursos necesarios para minimizar el impacto incluyendo costos directos y disrupción del negocio así como daños a la reputación y a la marca.
Andrés Casas, Socio de Risk Advisory, consideró que, si bien para un 70% de las organizaciones consultadas la ciber seguridad es muy importante dentro de su modelo de gobierno y gestión, no hay congruencia entre esta afirmación y la asignación de presupuestos y el nivel de madurez de sus prácticas.
Solo un 5% dijo sentirse extremadamente protegida y un 47% dice que sus políticas de protección de datos son básicas. Para avanzar en dicha congruencia, señaló, se debe formalizar una estructura de gobierno de ciber seguridad. Además, asignar un presupuesto a tono con el apetito de riesgo de la empresa. Según el reporte un 63% asigna a temas de seguridad de la información entre 1% y 5% del total del presupuesto de tecnología, solo un 17% asigna un equivalente a 11% o más.
Casas indicó que es importante que las organizaciones integren sus procesos de ciber seguridad con otros procesos de gestión. Además, mencionó la importancia de desarrollar y monitorear indicadores de ciber riesgos para tener un adecuado entendimiento del nivel de exposición y madurez de la organización en sus prácticas.
Entre otros hallazgos, un 93% de las encuestadas dijeron que si cuentan con software antivirus; muy pocas mencionaron otras capacidades tecnológicas de detección y protección ante malware.
Un 43% no cuenta con capacidades para protegerse de ataques de denegación de servicio, 6% desconoce del tema, y solo 34% de los que sí dijeron tener capacidades cuenta con herramientas para DDoS probadas periódicamente para asegurar su efectividad.
Solo un 42% analiza información de infraestructura, red y perfilado de sistemas; solo 43% hace un monitoreo básico y un 68% no recopila ni comparte información para un análisis de inteligencia de las amenazas que active procesos internos de preparación y respuesta.
Deloitte cree que las empresas y organizaciones deben considerar como altamente probable sufrir uno o varios incidentes de ciber seguridad al año. Estar preparado para prevenir y atender incidentes debe ser un objetivo estratégico y se debe incorporar el escenario ciber dentro de los programas de continuidad de negocio.
El estudio se aplicó a distintos sectores en América Latina: un 45% del sector financiero, 11% de manufactura, 11% en las áreas de tecnología, telecomunicaciones y medios, 10% en servicios, 10% en actividades de petróleo, gas y minería, 6% en sector público y 8% en diversas actividades. La encuesta incluía 41 preguntas y se desarrolló entre julio y octubre de 2018.