Nuevo informe de Aon «Cyber Security Risk Report 2021»

Nuevo informe de Aon «Cyber Security Risk Report 2021»

Redacción ‘MS’- Aon plc (NYSE: AON), empresa global líder en servicios profesionales que ofrece un amplio abanico de soluciones de riesgos, capital humano y salud, ha presentado su informe anual global: “Cyber Security Risk Report 2021 de Aon: Equilibrando riesgos y oportunidades, facilitando la toma de mejores decisiones”. En esta edición, el informe anual sobre predicciones de ciberseguridad de la firma alerta sobre la creciente presión a la que se enfrentan los líderes empresariales, ya que los ingresos disminuyen, los presupuestos son limitados y la necesidad de transformarse obliga a que las organizaciones deban ponerse al día en el ámbito de la ciberseguridad.

En 2020, la velocidad de la transformación digital superó a la de la seguridad en todos los sectores. La mayoría de las ciberamenazas a las que se enfrentan las organizaciones no son nuevas: los dispositivos conectados, el ransomware y el riesgo interno estarán siempre presentes; pero lo que sí es novedad es que la pandemia del COVID-19 ha supuesto un giro radical en la naturaleza de los negocios y una intensificación exponencial del ciberriesgo. Esto ha sido debido al fuerte aumento en el número de incidentes por ransomware y la gravedad de los mismos, junto con las vulnerabilidades en la cadena de suministro y proveedores.

Los ciberataques exitosos que salieron a la luz a finales de 2020 y principios de 2021 pusieron de manifiesto las vulnerabilidades asociadas al trabajo con terceros. El ransomware se convirtió en un riesgo de primera línea tanto para las aseguradoras como para los asegurados, ya que la actividad creció de forma exponencial: un 400% desde el primer trimestre de 2018 hasta el cuarto trimestre de 2020. Los suscriptores, que vieron que sus carteras de ciberseguros estaban sufriendo pérdidas debido principalmente al ransomware, reconocieron la necesidad crítica de evaluar mejor y establecer ajustes necesarios al precio del ciberseguro.

“Basándonos en nuestra experiencia en el asesoramiento y prestación de estos servicios, podemos afirmar que el tejido empresarial español, y de forma especial el segmento de las PYME, refleja y experimenta más aún si cabe esta situación. Esto conlleva la retención del riesgo en la cuenta de resultados y la no gestión del mismo, dando lugar a la aparición de mayores niveles de riesgo y surgimiento de nuevas amenazas”.

David Rubio, Cyber Consulting Practice Leader de Aon España.

Temas clave de riesgo

Apoyado en datos propios y en la visión de los expertos, este informe explora cuatro temas clave de riesgo, a través de los cuales las organizaciones pueden tomar mejores decisiones para respaldar sus modelos de negocio a la vez que protegen a sus personas, clientes, partners y cuenta de resultados. En general, los datos globales revelan que las prácticas y tecnologías de gestión de riesgos de ciberseguridad no están formuladas, y que el riesgo se está abordando de manera predominantemente reactiva.

Navegando a través de los nuevos retos: La rápida transformación digital. En 2020, cualquier idea de una agenda digital estratégica fue descartada en favor de la supervivencia. Sólo el 40% de las organizaciones afirma contar con estrategias de teletrabajo adecuadas para gestionar este riesgo, y sólo el 17% confirma disponer de medidas de seguridad de aplicación adecuadas.

Comprendiendo el entorno: Riesgo de proveedores. Este año, las organizaciones evaluarán los riesgos cibernéticos derivados de sus cadenas de suministro bajo nuevos prismas y con mayor atención. Basta con una puerta trasera no gestionada para comprometer la viabilidad del negocio. Un preocupante 21%, o una de cada cinco organizaciones confirma tener medidas adecuadas de gestión de terceros para supervisar a los proveedores y vendedores críticos.

Concentrándose en los controles: Ransomware. El número y variedad de los ataques de ransomware se dispararon en 2020. Siete de cada diez ataques incluían la amenaza de filtrar datos robados y comprometidos, y algunas variantes con la de subastar los datos robados. El 62% de las aseguradoras cita el control de acceso como un tema crítico. Sólo el 31% de las organizaciones reconoce contar con medidas adecuadas de resiliencia empresarial, una señal de alarma, ya que el ransomware supone un riesgo de interrupción del negocio.

Perfeccionando la base: Normativa y Regulación. Los rápidos cambios derivados del COVID-19 han ampliado las brechas de cumplimiento preexistentes y generado otras nuevas. En 2021 está entrando en vigor nueva regulación sobre protección de datos y seguridad mucho más restrictiva. Las organizaciones deben estar atentas ya que el cumplimiento no equivale a la seguridad. Menos de dos de cada cinco empresas (36%) afirma tener niveles adecuados de preparación en materia de seguridad de datos.

Resultados por Sectores

Los datos recogidos por Aon demuestran que las organizaciones de todas las franjas de facturación, sector y región presentan un rendimiento inferior a la media cuando se trata de gestionar el ciberriesgo. Como era de esperar, los sectores considerados históricamente como agregadores de datos -instituciones financieras y tecnología, medios de comunicación y telecomunicaciones- obtienen resultados más altos que la media global de la industria en los cuatro temas de ciberriesgo identificados. Sin embargo, ningún sector ha alcanzado un nivel de madurez en el que la gestión de los riesgos de ciberseguridad esté arraigada en la mayor parte de la organización.

¿Cómo pueden las organizaciones estar más preparadas y protegidas?

Además de concentrarse en las áreas de control de la seguridad identificadas en los cuatro temas clave de los ciberriesgos, el informe ofrece un plan para ayudar a las organizaciones a formularse las preguntas adecuadas basándose en la Evaluación, Cuantificación, Aseguramiento y Preparación para la Respuesta ante Incidentes

De cara al futuro, el informe identifica la aparición de nuevos riesgos cibernéticos. La Inteligencia Artificial (IA), los medios de pago alternativos, los planes de jubilación y las cadenas de suministro de tecnología son solo algunos riesgos notables e inminentes, ante los cuales la vigilancia y la educación son esenciales.

“Desde Aon recomendamos trabajar la gestión del riesgo desde un enfoque integral, tomando especial relevancia el capítulo de proveedores y externalización, ya sea porque se disponga de una cadena de proveedores dentro de la organización o porque seamos parte de ella en el servicio proporcionado a los clientes. Actualmente la publicación de normativas emergentes como NIS refuerzan esta idea, ya que toda empresa proveedora de servicios digitales debe cumplir y asegurar unos mínimos de ciberseguridad. Lo mejor es comenzar cuanto antes, evaluándonos a nosotros mismos o definiendo e implantando procesos de selección, homologación y auditoría que proporcionen comparativas de benchmarking que alimenten esos procesos y garanticen la toma de decisiones informadas y adecuadas”.

David Rubio, Cyber Consulting Practice Leader de Aon España.

Puede consultarse el Resumen Ejecutivo en este enlace.

Acceso al informe completo en este enlace.