Ciudad de México, a 01 de noviembre de 2023.- Aon plc (NYSE: AON), firma líder mundial en servicios profesionales, publicó su informe 2023 Cyber Resilience Report, que revela que solo el 15% de las empresas latinoamericanas presentan una madurez de riesgo cibernético superior al nivel “básico”, y que las tres áreas más críticas de riesgo cibernético son administración de terceros, resiliencia empresarial y seguridad de las aplicaciones, de un total de 5 aspectos calificados.
A pesar de estas cifras, el informe mundial consideró que el promedio de madurez cibernética general en las empresas de América Latina es igual al de las organizaciones del Reino Unido, Europa, Medio Oriente y África. Sin embargo, estos niveles parecen estar por detrás de sus pares estadounidenses.
El reporte fue desarrollado como una guía que ayuda a los líderes empresariales a comparar la madurez del riesgo cibernético de su organización con la de sus pares y tomar mejores decisiones al administrar este riesgo en seis rubros concretos: cibernético, operativo, cadena de suministro, interno, reputacional y sistémico.
La encuesta se basa en datos de clientes propios recogidos en la Evaluación del Cociente Cibernético de Aon (Aon CyQu), la Aplicación Suplementaria de Ransomware de Aon y la Aplicación de Tecnología Operativa de Aon. CyQu – una plataforma global de evaluación de riesgos que ayuda a las organizaciones a gestionar mejor el riesgo cibernético y proporciona visibilidad sobre las exposiciones cibernéticas y los factores de asegurabilidad.
Así, cuando se trata de administrar el riesgo de terceros a través de acuerdos legales, unicamente el 17% de las empresas de Latinoamérica presentan puntuaciones de riesgo superiores a 2.5 de 4.0. Este aspecto califica si las empresas cuentan con estrategias de seguridad cibernética para los incidentes o ataques que puedan ocurrir. Los datos muestran que en general, las compañías de la región carecen de todas éstas y de un plan de resiliencia cibernética.
En cuanto a la resiliencia empresarial, apenas un 25% de las compañías presentaron un perfil de riesgo superior al “básico” en cuanto a la continuidad de negocio o contar con un plan de recuperación ante desastres centrado en el restablecimiento y cuantificación del impacto financiero. El 35% de las empresas tuvo un perfil de riesgo superior al “básico” para la planificación de respuestas ante incidentes y ejercicios de simulación.
El informe también detectó deficiencias en otra área importante de control: la seguridad de las aplicaciones. Menos del 35% de los empresas latinoamericanas presentaron un perfil de riesgo superior al “básico” en esta área, dado que no están gestionando de manera adecuada el proceso de permisos sobre aplicaciones de software, ni se están capacitando a los desarrolladores de software sobre seguridad, ni tampoco se realizan análisis dinámicos y pruebas de penetración para aplicaciones.
«Las empresas en Latinoamérica y en el mundo han experimentado nuevas formas de volatilidad en los últimos cuatro años con el aumento en la frecuencia y gravedad de las amenazas cibernéticas y los eventos de ransomware, seguidos de un mercado de seguros cibernéticos con primas y retenciones crecientes, así como un escrutinio más agudo en la suscripción», explicó Sergio Torres, specialty leader – Financial & Professional Services & Cyber Latin America de Aon. «Por ello, la alta dirección de las empresas esta más consciente que los eventos cibernéticos tienen el potencial de impactar en todas las áreas de su negocio. Lograr la resiliencia cibernética es un tema recurrente para ellos y, por tanto, la amenaza ahora se está abordando desde una perspectiva holística de riesgo».
Una visión por industria
Al enfocarse en tres sectores del mercado mundial (finanzas y seguros, salud y sector industrial), los datos de CyQu calificaron con un desempeño relativamente bueno a las empresas de la región en comparación con sus pares de Europa, Medio Oriente, África, Reino Unido y EUA, donde su posición cibernética general alcanzó el nivel de “gestionada” en 2022.
- Finanzas y de seguros: las empresas latinoamericanas lograron un puntaje promedio general de 2.7 o “gestionado”, lo que indica que han implementado tecnologías y prácticas de administración de riesgos en toda la organización. Este nivel de gestión de riesgos refleja un entorno regulatorio en el que operan estas empresas y un ambiente de redes más maduro. Así, los indicadores predictivos respaldan prácticas de seguridad cibernética al definir políticas, procesos y procedimientos, disponen de métodos uniformes para responder eficazmente a los cambios en los riesgos, existe una arquitectura sólida, fuertes mecanismos de defensa contra violaciones del perímetro y cuidado vital en la seguridad de redes, entre otros aspectos.
- Salud: la madurez de riesgo cibernético para las empresas de la región parece ser el mismo que para sus pares en Estados Unidos. Sin embargo, las tecnologías y prácticas de gestión de riesgos de seguridad cibernética aún deben formalizarse más, mejorando la seguridad de las aplicaciones, la resiliencia empresarial, la seguridad física y la administración de terceros. La implementación consistente de mecanismos de autenticación multifactorial en las redes puede ser crítica, ya que la vulneración de contraseñas puede comprometer datos sensibles o el acceso de intrusos.
- Sector Industrial: presenta índices similares en la mayoría de las áreas en comparación con sus pares estadounidenses. Sin embargo, al igual que sus contrapartes del sector salud, las prácticas y tecnologías de administración de riesgos de ciberseguridad no están formalizadas, tienen un alcance limitado, el riesgo se gestiona ad hoc y, a veces, de manera reactiva. Los problemas más críticos se refieren a la administración de terceros, la seguridad de las aplicaciones y la resiliencia empresarial.
“Lograr la resiliencia cibernética y empresarial es un esfuerzo desafiante para cualquier organización. En Aon ayudamos a nuestros clientes en México, a minimizar el riesgo financiero, operativo y de reputación ante un ambiente volátil, estableciendo tres puntos concretos a considerar:
1) Para tener un mejor control en la administración de terceros es imperativo alinearlos con las políticas de la empresa, realizar con ellos auditorías de recuperación ante desastres y, elaborar predicciones del impacto financiero del riesgo cibernético que definan estrategias de seguridad cibernética.
2) La resiliencia empresarial está presente cuando se garantiza la implementación de planes de continuidad del negocio y recuperación técnica ante desastres. Estos planes permitirán el restablecimiento ante una falla de software o tecnología crítica, falla de un proveedor de tecnología o servicio público crítico, pérdida o modificación de información vital y divulgación de información extremadamente sensible, entre otros.
3) Si todos los los desarrolladores completan un curso de capacitación en seguridad de manera frecuente, se mantiene un inventario de las aplicaciones y se elimina el software no autorizado, la seguridad en las aplicaciones podrá elevarse”, puntualizó Cristhian Prado de Aon, experto en aspectos cibernéticos para el país.