Redacción

Los líderes a cargo de ciberseguridad en empresas del país han reconocido que a raíz de la coyuntura actual y las medidas de confinamiento derivadas de COVID-19, 79% de las compañías han enfrentado un mayor número de ciberataques; 97% calcula un incremento de entre 6% y más de 15%. Esta perspectiva muestra el grado actual de automatización y dependencia de las tecnologías de la información por parte de las organizaciones, de acuerdo con el más reciente estudio Combatir el cibercrimen en la nueva realidad de KPMG en México, firma multidisciplinaria que provee servicios profesionales de Auditoría, Impuestos y Asesoría.

En este contexto, Rommel García, Socio de Asesoría en Ciberseguridad de KPMG en México, comenta: “COVID-19 reconfiguró los negocios: sin ciberseguridad como habilitadora de la operación, difícilmente una empresa podrá ser parte de la era digital en la nueva realidad”.

Una nueva realidad con más riesgos de cibercrimen

Actualmente, el trabajo a distancia se ha convertido en el día a día de la operación. El cambio en las dinámicas laborales ha permitido a las organizaciones mantenerse y, en algunos casos, crecer; sin embargo, los encargados de la ciberseguridad tienen conciencia del alto impacto que un problema de seguridad de la información puede acarrear para el negocio. La fuga, filtración o robo de información confidenciales (74%), así como la interrupción de las operaciones de la empresa (57%), el daño a su infraestructura (27%), la extorsión (22%) y el impacto en la calidad de los productos o servicios (17%), son los principales riesgos que perciben las organizaciones de acuerdo con el sondeo.

Por otro lado, 60% de las empresas han experimentado ataques de phishing en el último año, convirtiéndolo en la modalidad cibercriminal más común, seguido por malware o virus (43%), ransomware (18%), exposición de información confidencial y denegación de servicio (16%), robos de identidades (13%), transacciones financieras no autorizadas (11%), intervención de su correo empresarial (business email compromise) (10%) y otro tipo de hackeo (9%).

Rommel García agrega: “En el pasado, lograr el compromiso de la Alta Dirección de la organización entorno a la ciberseguridad ha sido complicado. Al parecer, años de sensibilización han rendido frutos, diferentes preguntas del estudio realizado por KPMG, nos muestran que los altos directivos son ya conscientes y responsables de la ciberseguridad, y su apoyo se refleja en los crecientes presupuestos invertidos en esta área”.

Conciencia y enfoque en la alta dirección

De acuerdo con los resultados, los directivos reconocen que el mayor impacto que encaran las organizaciones por ciberataques es el económico. Conviene subrayar que, aunque se perciben

otros impactos, como los daños reputacionales, de imagen, legales, pérdida de clientes, entre otros, todos tienen asociada como consecuencia final una pérdida económica.

En caso de un ataque, los líderes de ciberseguridad comentan que las actividades que serían prioritarias para su empresa son:

  • Proporcionar pruebas de que las vulnerabilidades han sido superadas (68%)
  • Dar a conocer a los clientes el problema, antes de que lo informen terceros (53%)
  • Proporcionar actualizaciones frecuentes sobre la situación (41%)
  • Solucionar los problemas de robo de identidad y otros daños a los clientes afectados (36%)
  • Ofrecer una línea directa a los clientes para consultas sobre seguridad de la información (34%)
  • Garantizar una compensación a las víctimas (25%)
  • Disculparse con las partes perjudicadas (16%)

La Alta Dirección considera que el porcentaje del presupuesto anual de operación de su empresa invertido en ciberseguridad es:

  • Menos de 1% (29%)
  • Entre 1% y 5% (34%)
  • Entre 6% y 10% (21%)
  • Más de 10% (16%)

Mejorar la protección de los activos de información es la constante para las áreas de ciberseguridad. En este sentido, las organizaciones más avanzadas han madurado sus programas: cerca de la mitad de la muestra (49%) se percibe con competencias avanzadas y de liderazgo.

Ante la pregunta ¿En qué estado de ciberseguridad se encuentra su empresa? La Alta Dirección respondió:

  • 14% “Líder: gestión de riesgos con enfoque predictivo y uso de ciberinteligencia”
  • 35% “Avanzado: competencias para responder a los ataques de manera efectiva”
  • 26% “Intermedio: capacidad más amplia para detectar ataques”
  • 20% “Básico: prevención con base en las experiencias de otros; detección elemental de ataques y monitoreo de proceso”
  • 5% “Inicial: reacción a los eventos cuando se presentan”

Principales retos de la ciberseguridad

El personal es el eslabón débil en la estrategia de ciberseguridad, y representa el principal aspecto a mejorar en las organizaciones (54%). Ante ello, el Chief Information Security Officer (CISO) habrá de poner especial énfasis en la capacitación de los usuarios, así como del personal a cargo de la ciberseguridad. En este sentido, es importante buscar nuevas formas de sensibilización, más allá de un entrenamiento tradicional; las fórmulas y métodos que se han utilizado hasta ahora han demostrado ser ineficaces.

Según la encuesta, los principales aspectos que deben mejorar las organizaciones son:

  • 54% Capacitación a los usuarios y personal a cargo de la ciberseguridad
  • 50% Gestión de vulnerabilidades
  • 47% Gestión de riesgos en terceros (proveedores, socios de negocios, entre otros)
  • 39% Plan de continuidad de negocio
  • 34% Gestión de identidades o manejo de cuentas privilegiadas
  • 32% Cumplimiento en materia de privacidad, leyes o regulaciones

“Los delincuentes cibernéticos no tienen fronteras, son sofisticados e impredecibles, convirtiéndose en uno de los grandes retos de la nueva realidad”, comenta Rolando Garay, Socio Líder de Servicios de Tecnología y Transformación de KPMG en México.

Los desafíos se acrecientan de cara al futuro, sobre todo en áreas con elevado grado de vulnerabilidad.

Los encuestados calificaron dicho grado de vulnerabilidad de las siguientes tendencias, ante los ciberataques:

Estrategia y arquitectura en la nueva realidad

El estudio muestra que las estrategias y arquitecturas de ciberseguridad actuales deben adaptarse a la nueva realidad de los negocios. Dichas estrategias necesitan cambiar debido a varios factores:

1)    60% “Posible generalización del home office dejará más expuesta la información”

2)    49% “Habrá amenazas nuevas”

3)    42% “Las estrategias de los ciberataques serán diferentes”

4)   33% “Será necesario optimizar costos”

5)   31% “Los modelos de negocio cambiarán de manera considerable”

6)   35% “Todas las anteriores”

“Sin importar el tamaño de la empresa o industria, una cultura de ciberseguridad responsable consiste en encontrar la ecuación adecuada entre los controles de responsabilidad de las organizaciones y de los usuarios”, afirma Gerardo Rojas, Socio Líder de Asesoría de KPMG en México y Centroamérica.