Redacción ‘MS’- Según un informe elaborado por la correduría de seguros y consultora de riesgos Marsh conjuntamente con Microsoft Corp., una de las consecuencias tras casi tres años de abrupta interrupción del trabajo presencial en la oficina, una importante transformación digital y numerosos ataques de ransomware a escala global ha sido que la mayoría de las organizaciones no confíen más ahora que hace dos años en su capacidad para gestionar el riesgo de ciberseguridad.
El estudio, The State of Cyber Resilience, sondea la opinión de más de 660 responsables de áreas relacionadas con el riesgo de ciberseguridad y analiza cómo se percibe el riesgo de ciberseguridad por los ejecutivos de diversas áreas (ciberseguridad, IT, gestión de riesgos y seguros, finanzas y liderazgo ejecutivo) en importantes empresas de todo el mundo.
Según el informe, la confianza de los líderes en las capacidades básicas de gestión de riesgos de ciberseguridad de su organización, incluida la capacidad de comprender y evaluar las amenazas,mitigar y prevenir los ataques y administrar o responder a los ataques relacionados con la ciberseguridad, prácticamente no ha cambiado desde 2019, cuando el 19,7 % de los encuestados declaró tener mucha confianza, en comparación con el 19% que ha manifestado tenerla en 2022.
“El continuo aumento del ramsomware ha propiciado un mayor interés en ciberseguridad por parte de los líderes de las organizaciones, hecho que CISOs y responsables de seguridad de todo el país han aprovechado para mostrar la realidad ciber actual. Por ello, no sorprende que muchas organizaciones no se sientan más seguras de su capacidad para gestionar los riesgos de ciberseguridad ahora que en 2019”.
Nelia Argaz, responsable de Cyber Security & Business Resilience para Europa Continental.
Además, muchas organizaciones aún luchan por comprender los riesgos que plantean sus proveedores y las cadenas de suministro digitales como parte de sus estrategias de ciberseguridad. Solo el 43% de los encuestados afirmó haber realizado una evaluación de riesgos de sus proveedores o cadenas de suministro.
Entre las conclusiones del informe destacan:
- El 73% de las compañías encuestadas declaró haber sufrido al menos un ciberataque. Las empresas más grandes (en base a su nivel de ingresos) se enfrentaron a más ataques tanto en número como en variedad, y el 85 % dijo que había sido objeto de al menos un ataque, en comparación con el 68 % de las organizaciones más pequeñas.
- En el ámbito regional, las empresas con sede en América Latina fueron las menos propensas a declarar haber experimentado algún tipo de ataque cibernético, en particular violaciones de la privacidad. Los de la región del Pacífico tenían significativamente más probabilidades de haber sufrido violaciones de la privacidad que los de otras regiones.
- El ransomware se considera la principal amenaza de ciberseguridad a la que se enfrentan las empresas, pero no la única. Otras amenazas frecuentes son el phishing/ingeniería social, violaciones de privacidad, y parones del negocio debido a un proveedor externo siendo atacado que, comúnmente, se utilizan como parte de un vector de entrada de amenazas compuesto.
- El seguro es una parte importante de la estrategia de gestión del riesgo cibernético, como salvaguarda contra los costes potenciales de un ataque e influye en la adopción de mejores prácticas y controles. El 61% de los encuestados declaró que su empresa contrata algún tipo de cobertura de seguro relacionado con la ciberseguridad, lo que supone un aumento del 30% respecto a los datos de la encuesta en 2019.
- Casi una cuarta parte de las organizaciones señaló que su inversión en seguros relacionados con la ciberseguridad aumentará en un 25% o más en 2022. Haber experimentado un incidente cibernético fue el principal factor citado a la hora de tomar la decisión de aumentar el gasto en esta área.
- Solo el 41% de las organizaciones miran más allá de la seguridad cibernética y los seguros para involucrar sus funciones legales, de planificación corporativa, finanzas, operaciones o gestión de la cadena de suministro en la elaboración de planes de riesgo cibernético.
- Un 66% de los participantes en la encuesta señaló que las tecnologías para el trabajo en remoto y desde casa son uno de los principales factores que posibilita los ciberataques.
- Casi cuatro de cada diez encuestados (un 38%) dijeron que su organización usa métodos cuantitativos para medir su exposición al riesgo cibernético, lo cual es un paso fundamental para comprender cómo los ataques cibernéticos y otros eventos pueden generar volatilidad. Esta es una mejora con respecto a la encuesta de 2019, cuando tres de cada diez encuestados (un 30%) afirmaron que su organización utilizaba este tipo de métodos.
“Los riesgos de ciberseguridad son omnipresentes en la mayoría de las organizaciones. Contrarrestar con éxito las ciber amenazas debe ser un objetivo global de todas las empresas destinado a desarrollar la ciber resiliencia en todas las áreas de una compañía, en lugar de realizar inversiones puntuales. Una mayor comunicación interna y comprensión por parte del board puede ayudar a las organizaciones a cerrar las brechas de seguridad que existen actualmente, aumentar la confianza e informar mejor sobre la toma de decisiones estratégicas generales en torno a las ciberamenazas”.
Nelia Argaz, responsable de Cyber Security & Business Resilience para Europa Continental.