Después de casi tres años de un cambio en el modelo de trabajo, una inevitable transformación digital e innumerables ataques de ransomware, la mayoría de los líderes desconfían de su capacidad para gestionar los riesgos cibernéticos, en comparación con hace dos años atrás.
El reporte “El estado de la resiliencia cibernética”, realizado por la firma de seguros y consultora de riesgos Marsh y Microsoft Corp, encuestó a más de 660 tomadores de decisiones sobre riesgos cibernéticos a nivel mundial y 162 en Latinoamérica, para analizar cómo esta problemática es vista por diversos ejecutivos de organizaciones, incluida la seguridad cibernética, tecnología de la información (TI), gestión de riesgos y seguros, finanzas y liderazgo ejecutivo.
Según el estudio, la confianza de los líderes en las capacidades de gestión del riesgo cibernético de su organización, incluida la capacidad de comprender y evaluar las amenazas digitales, mitigar y prevenir los ciberataques, y administrar y responder a ellos prácticamente no ha cambiado desde 2019.
Durante ese año, 22% de los encuestados en Latinoamérica dijeron que tenían mucha confianza en su capacidad de comprender y evaluar las amenazas cibernéticas y 18% en sus capacidades para gestionar y responder ante ciber incidentes. Mientras, en 2022, los valores variaron ligeramente, con 19% y 16% respectivamente. Sin embargo, en el período prepandemia, el 20% tenía una alta confianza en sus capacidades de mitigación o prevención de ciberataques, un número que ha bajado a 12% en el presente año.
“Dado el continuo aumento del ransomware y el creciente panorama de amenazas actual, no sorprende que muchas organizaciones no se sientan más seguras de su capacidad para responder a los riesgos cibernéticos ahora que en 2019”, dijo Edson Villar, líder de consultoría en Riesgo Cibernético en Marsh Advisory para Latinoamérica.
Además, muchas organizaciones aún luchan por comprender los riesgos que plantean sus proveedores y las cadenas de suministro digitales como parte de sus estrategias de ciberseguridad. Solo el 43% de los encuestados afirmó haber realizado una evaluación de riesgos de sus proveedores o cadenas de suministro.
Además de este hallazgo, solo el 41% de las organizaciones latinoamericanas miran más allá de la ciberseguridad y los seguros para involucrar sus funciones legales, de planificación corporativa, finanzas, operaciones o gestión de la cadena de suministro en la elaboración de planes de riesgo cibernético.
Cuatro de cada 10 encuestados en la región (un 41%) dijo que su organización usa métodos cuantitativos para medir su exposición al riesgo cibernético, lo cual es un paso fundamental para comprender cómo los ataques cibernéticos y otros eventos pueden generar volatilidad.
Esta es una mejora con respecto a la encuesta de 2019, cuando solo tres de cada diez encuestados (30%) afirmaron que su organización utilizaba métodos cuantitativos. Las tarifas de los seguros de Cyber continuaron aumentando, impulsadas en gran medida por el continuo aumento en la frecuencia y la gravedad de las reclamaciones de ransomware, y muchas aseguradoras intentaron endurecer los términos y condiciones de la cobertura, especialmente en relación con el conflicto en Ucrania.
El 63% de las empresas en Latinoamérica y el Caribe considera que el teletrabajo las pone en riesgo de un ciberataque, seguido del uso de dispositivos móviles personales de los colaboradores (59%).
En adición a esto, la mitad de las empresas es incapaz de medir su exposición al riesgo cibernético por la falta de talentos dentro de la organización.
“Los riesgos cibernéticos son omnipresentes en la mayoría de las organizaciones. Contrarrestar con éxito las ciberamenazas debe ser un objetivo de toda la empresa, destinado a desarrollar la resiliencia cibernética en toda la organización, en lugar de inversiones independientes en prevención de ataques o defensa cibernética. Una mayor comunicación entre empresas puede ayudar a las organizaciones a cerrar las brechas que existen actualmente, aumentar la confianza e informar mejor la toma de decisiones estratégicas generales en torno a las ciberamenazas”, agregó Villar.
Ante este panorama, Marsh y Microsoft hacen un llamado a las empresas para apostar por una estrategia integral y bien definida de prevención para el riesgo cibernético. “Las empresas deben estructurar estrategias de ciberseguridad con un sentido de urgencia, teniendo en cuenta que un ciberataque es inminente, sin importar el ramo o la industria. Esto incluye no solo iniciativas relacionadas con la mitigación, sino también con la transferencia del riesgo, a través de un seguro de riesgo cibernético” indicó Enrique Valdez, presidente de Marsh República Dominicana.
