Riesgos cibernéticos en las empresas
Después de casi tres años de un cambio en el modelo trabajo, una inevitable transformación digital e innumerables ataques de ransomware, la mayoría de los líderes ya no confían en su capacidad para gestionar el riesgo cibernético en comparación con hace dos años. Esto se desprende del nuevo reporte publicado por el corredor de seguros y consultor de riesgos Marsh y Microsoft Corp. Esta última es una empresa líder en plataformas y productividad para el mundo que prioriza los dispositivos móviles y la nube.
Estudio
El reporte “El estado de la resiliencia cibernética” encuestó a más de 660 tomadores de decisión sobre riesgos cibernéticos a nivel mundial, incluyendo 162 en Latinoamérica. De esta manera, analizó cómo el riesgo cibernético es visto por diversos ejecutivos de organizaciones líderes, incluida la seguridad cibernética, TI, gestión de riesgos y seguros, finanzas y liderazgo ejecutivo.
Según el reporte, la confianza de los líderes en las capacidades de gestión del riesgo cibernético de su organización -incluida la capacidad de comprender y evaluar las amenazas cibernéticas, mitigar y prevenir los ataques cibernéticos, y administrar y responder a los ataques cibernéticos- prácticamente no cambió desde 2019. Aquel año, el 22% de los encuestados en Latinoamérica dijeron que tenían mucha confianza en su capacidad de comprender y evaluar las amenazas cibernéticas y el 18% en sus capacidades para gestionar y responder ante ciberincidentes. En tanto, los valores variaron ligeramente en 2022 con 19% y 16%, respectivamente.
Sin embargo, en 2019, el 20% tenía alta confianza en sus capacidades de mitigación o prevención de ciberataques, mientras que este número bajó en 2022 a 12%.
Riesgos
“Dado el continuo aumento del ransomware y el creciente panorama de amenazas actual, no sorprende que muchas organizaciones no se sientan más seguras de su capacidad para responder a los riesgos cibernéticos ahora que en 2019”, dijo Edson Villar, líder de Consultoría en Riesgo Cibernético en Marsh Advisory para Latinoamérica.
Además, muchas organizaciones aún luchan por comprender los riesgos que plantean sus proveedores y las cadenas de suministro digitales como parte de sus estrategias de ciberseguridad. Solo el 43% de los encuestados afirmó haber realizado una evaluación de riesgos de sus proveedores o cadenas de suministro.
Estrategia
“Los riesgos cibernéticos son omnipresentes en la mayoría de las organizaciones. Contrarrestar con éxito las ciberamenazas debe ser un objetivo de toda la empresa, destinado a desarrollar la resiliencia cibernética en toda la organización, en lugar de inversiones independientes en prevención de ataques o defensa cibernética. Una mayor comunicación entre empresas puede ayudar a las organizaciones a cerrar las brechas que existen actualmente, aumentar la confianza e informar mejor la toma de decisiones estratégicas generales en torno a las ciberamenazas”, agregó Villar.
Ante este panorama, Marsh y Microsoft hacen un llamado a las empresas para apostar por una estrategia integral y bien definida de prevención para el riesgo cibernético. “Las empresas deben estructurar estrategias de ciberseguridad con un sentido de urgencia, teniendo en cuenta que un ciberataque es inminente, sin importar el ramo o la industria, incluyendo no solo iniciativas relacionadas con la mitigación, sino también con la transferencia del riesgo a través de un seguro de riesgo cibernético”, complementó Villar.
Latinoamérica
Entre los hallazgos destacados del reporte para Latinoamérica, se destacó que solo el 41% de las organizaciones miraron más allá de la ciberseguridad y los seguros para involucrar sus funciones legales, de planificación corporativa, finanzas, operaciones o gestión de la cadena de suministro en la elaboración de planes de riesgo cibernético.
Asimismo, también el 41% de los encuestados en la región dijeron que su organización usa métodos cuantitativos para medir su exposición al riesgo cibernético. Este es un paso fundamental para comprender cómo los ataques cibernéticos y otros eventos pueden generar volatilidad. Representa una mejora con respecto a la encuesta de 2019, cuando solo el 30% de los encuestados afirmaron que su organización usaba métodos cuantitativos.
Por otro lado, las tarifas de los seguros de cyber continuaron aumentando, impulsadas en gran medida por el continuo aumento en la frecuencia y la gravedad de las reclamaciones de ransomware. Muchas aseguradoras intentaron endurecer los términos y condiciones de la cobertura, especialmente en relación con el conflicto en Ucrania.
En tanto, el 63% de las empresas en Latinoamérica y el Caribe consideró que el home office las pone en riesgo de un ciberataque. Fue seguido por el uso de dispositivos móviles personales de los colaboradores (59%). Por último, la mitad de las empresas (50%) mencionó que no puede medir su exposición al riesgo cibernético por la falta de talento dentro de la organización.
Demanda nacional e internacional
“Tanto en el plano nacional como internacional ya existen coberturas previas para el cibercrimen. En la Argentina se empezó hablar de seguros contra ciberdelitos hace pocos años. A nivel mundial, entre 15 y 20 años atrás. Se trata de un proceso muy similar a la curva que tuvo la póliza de D&O (directores y gerentes) un par de décadas después. En este producto, al igual que algunos otros seguros en particular, no sólo es importante tener la cobertura, sino también conocer su alcance y saber cómo proceder ante un siniestro”, sostuvo Marc Herzfeld, director comercial del Grupo Gaman.
Herzfeld señaló además que hoy se da en el seguro una combinación muy interesante de “producto con servicio”, como el auxilio mecánico en un seguro de auto o la gestión de asesoría en caso de un secuestro. “El manejo de la contingencia es casi más importante que la indemnización en sí misma. Por ejemplo, para contener la fuga de datos, el control de un delincuente cibernético sobre el sistema, etc.”, puntualizó.
Si bien ya hay algunos productos de seguros que dan respuesta a los ciberdelitos, el directivo explicó que el tema aún se encuentra en fase de desarrollo. “Seguramente, una vez que se instale un estándar de ciberseguridad, como pasó hace varios años con la necesidad de contar con un seguro de responsabilidad civil para directores de empresas que coticen en bolsa, también veremos una escalada en la contratación de estas coberturas”, consideró Herzfeld.
Cómo prevenir ataques
Según Forrester, compañía de investigación de mercado, en promedio, entre el 60% y el 73% de todos los datos dentro de una compañía no se utilizan para el análisis. Esto afirma la necesidad de contar con políticas para la gestión y la protección dentro de cada sector productivo.
Al mismo tiempo, las nuevas tecnologías cumplen un rol indispensable durante esta pandemia. Permiten que las empresas continúen sus operaciones sin poner en riesgo su productividad y su rentabilidad.
Desde Rockwell Automation, empresa de origen estadounidense que ofrece sistemas de automatización e información industrial, destacan una variedad de capacidades y controles que les permiten a las empresas responder y adaptarse a amenazas emergentes enmarcadas en tres áreas clave: la higiene cibernética (creando programas que encaren las vulnerabilidades), la estrategia de defensa (las empresas deben desarrollar su seguridad teniendo en cuenta que cualquier punto individual de protección puede ser neutralizado) y la planificación frente al ciclo continuo de los ataques (sistemas que monitoreen y detecten todo comportamiento de la red para poder reaccionar e impedir las posibles amenazas).
En un ambiente conectado como el actual, la seguridad física y la ciberseguridad están inexorablemente unidas. “Muchas de las compañías no tienen el conocimiento de cuáles son sus riesgos actuales. Tampoco por dónde deberían empezar a implementar proyectos de integración y de ciberseguridad”, expresó Marcelo Sereno, gerente de Industria de Consumo para Latinoamérica de Rockwell Automation.
Camino por recorrer
Por último, Herzfeld dejó en claro que los seguros contra el cibercrimen en la Argentina todavía tienen mucho camino por recorrer. “A nivel mundial, mientras tanto, ya ocupan un lugar preponderante. En el mercado argentino es un rubro incipiente y choca con la poca cultura aseguradora”, concluyó.
La búsqueda de alternativas para dar respuesta a los ciberdelitos adquirió mayor impulso durante la cuarentena. Sin dudas, esto marca un fuerte precedente para procurar estar protegidos frente a los riesgos y las vulnerabilidades a los que se encuentran expuestas tanto personas como empresas, y prepararse para la “nueva normalidad”.
Fuente: https://www.todoriesgo.com.ar/