La tecnología está transformando drásticamente el entorno empresarial, generando una gama más amplia de riesgos interconectados y en constante cambio, como es el caso del riesgo cibernético. La Encuesta de Percepción del Riesgo Cibernético 2019, publicada por Marsh y Microsoft Corp., recoge las respuestas de +1,500 empresas a nivel global, 531 de ellas en Latinoamérica, sobre su visión del riesgo cibernético.
Según la encuesta, en Latinoamérica el 73% de las organizaciones ahora clasifican el riesgo cibernético como una de sus cinco principales preocupaciones, en comparación con el 47% del 2017. Una de cada cinco organizaciones lo considera su riesgo principal.
Asimismo, el nivel de confianza en su capacidad para enfrentar el riesgo cibernético aumentó a un 73%, de los cuales, el 51% se sienten confiados y el 22% muy confiados. Sin embargo, el 27% de las empresas en Latinoamérica desconfían totalmente de su capacidad para responder a un evento cibernético.
En cuanto a las áreas responsables de gestionar el riesgo cibernético dentro de una organización, el 88% de los encuestados identificaron al área de Tecnología/Seguridad de la Información como la principal responsable, seguida de la Junta Directiva (53%) y la Gerencia de Riesgos (46%). Más del 40% de los altos ejecutivos y miembros de la Junta Directiva mencionaron que dedicaron pocos días en el último año enfocándose en el tema, mientras que un 45% dedico solo algunas horas o menos.
Al mismo tiempo, las organizaciones continúan adoptando nuevas tecnologías, pero no están seguras de los riesgos que conllevan. El 79% de los encuestados dijeron que están adoptando o están considerando adoptar nuevas tecnologías como la nube informática, robótica o inteligencia artificial. El 75% dicen que evalúan el riesgo cibernético tanto antes como después de la adopción; el 12% no evalúa el riesgo en absoluto.
Una de cada 3 organizaciones encuestadas cuantifica el impacto económico del riesgo cibernético, 1 de cada 4 compañías consultadas lo evalúa después de un ataque. Esto puede deberse a la falta de experiencia en la organización con respecto a estas metodologías, a la falta de recursos (tiempo y dinero), o al hecho de que muchas compañías sigan considerando las amenazas cibernéticas como un problema tecnológico más que como un riesgo estratégico.
Por otra parte, la encuesta menciona que el 54% de la inversión en riesgo cibernético para los próximos tres años estará centrada en tecnología y mitigación, pero no en el conjunto de los elementos que crean resiliencia frente a este riesgo creciente y cambiante. Edson Villar, Líder Regional para Latinoamérica en Consultoría de Riesgo Cibernético de Marsh, menciona que “las empresas están siendo cada vez más conscientes de este problema, pero todavía no están priorizando sus recursos en crear verdadera resiliencia, es decir, en identificar, cuantificar, mitigar, transferir y planificar su respuesta en caso de un incidente”. De acuerdo a la encuesta, el 62% de las organizaciones consultadas mencionan que uno de los principales detonantes para el incremento en la inversión de ciberseguridad son los ataques cibernéticos.
Agregó que “la dura realidad a la que las organizaciones deben enfrentarse es que el riesgo cibernético no se puede eliminar, por lo tanto, debe gestionarse de forma estratégica desde el primer nivel de la organización”.
En el país, se han hecho importantes avances para la mitigación de riesgos cibernéticos como fue la promulgación del Reglamento de Seguridad Cibernética y de la Información emitido por el Banco Central de la República Dominicana. Este reglamento propone principios y medidas que deberán adoptarse en el sector público y privado para asegurar la integridad, disponibilidad y confidencialidad de la información, el funcionamiento óptimo de los sistemas, así como la adopción e implementación de prácticas para la gestión de riesgos que atenten contra la seguridad cibernética y de la información.
En este contexto, Enrique Valdez, presidente y CEO de Marsh Franco Acra, indicó que, “aunque los seguros son una poderosa herramienta de transferencia del riesgo que ayuda a las empresas a proteger sus activos, la marca, a los empleados y sus clientes, de igual importancia es la implementación de estrategias integrales de gestión de riesgos, incluyendo los cibernéticos, que aseguren la protección de la continuidad del negocio y su reputación”.
Según la encuesta, en Latinoamérica crece el número de empresas que cuentan con un seguro cibernético, aunque la región todavía está lejos de la media global: 29% vs 47%. En el caso de las grandes empresas, el porcentaje de penetración del seguro cibernético crece hasta el 40%.
Con cadenas de suministro digitales cada vez más interdependientes, el riesgo cibernético debe convertirse en una responsabilidad colectiva. “En la era de la transformación tecnológica y de cadenas de suministro más interconectadas, las prácticas y la mentalidad de gestión del riesgo cibernético de antes ya no son suficientes y en realidad podrían inhibir la innovación”, dijo Joram Borenstein, gerente general del Grupo de Soluciones de Seguridad Cibernética de Microsoft.
Añadió que “corresponde a los líderes centrarse en estos temas para el bienestar de sus organizaciones, sus clientes, sus empleados y más allá”.
