We're sorry but your browser is not supported by Marsh.com

For the best experience, please upgrade to a supported browser:

X

INVESTIGACIÓN Y BOLETINES

El riesgo cibernético ya es prioridad empresarial en Latinoamérica, pero hay que mejorar

 


Nuestra Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019, realizada en asociación con Microsoft, muestra que más compañías ven el riesgo cibernético como una prioridad, y que en nuestra región, a diferencia de los resultados globales, la confianza en la resiliencia cibernética ha aumentado.

Aumenta la preocupación por el riesgo cibernético

Impulsados por la frecuencia y la gravedad de los recientes incidentes de alto perfil, los riesgos y amenazas cibernéticas aumentaron significativamente entre las principales prioridades de las organizaciones encuestadas en 2019.

En Latinoamérica, el 73% de los encuestados clasificó los riesgos cibernéticos como una de las cinco principales preocupaciones para su organización, frente al 47% en 2017.

El porcentaje que cita el riesgo cibernético como su preocupación número 1 se cuadruplicó, del 5% al 21%. 

En 2019, más encuestados clasificaron el riesgo cibernético como una de las principales preocupaciones que cualquier otro riesgo comercial importante.

La incertidumbre económica fue la segunda, clasificada como un riesgo de los 5 principales por el 59% de las organizaciones, 14 puntos porcentuales por debajo de los ataques cibernéticos y las amenazas cibernéticas

Estos resultados sugieren un fuerte aumento en la prominencia del riesgo cibernético en la empresa, y se correlacionan con otros estudios recientes.

Por ejemplo, en el Informe Global de Riesgos 2019 del Foro Económico Mundial (WEF), los líderes empresariales clasificaron el robo de datos y los ataques cibernéticos entre los cinco riesgos principales con mayor probabilidad de ocurrir.

Aumenta la confianza en resiliencia cibernética

A diferencia de los resultados globales, la encuesta muestra que en Latinoamérica aumentó la confianza de las empresas en cada área crítica de resiliencia cibernética:

  1. Entender, evaluar y cuantificar las amenazas cibernéticas
  2. Prevenir y mitigar ataques cibernéticos
  3. Gestionar y recuperarse de ataques cibernéticos

En conjunto, estas áreas proporcionan una medida general de la resiliencia cibernética de una organización: su capacidad para navegar con éxito un evento cibernético; aplicar capacidades de planificación, evaluación, prevención, mitigación y respuesta para gestionarlo; y volver a las operaciones normales con tiempo de inactividad o pérdidas mínimas.

En 2019, la proporción de empresas latinoamericanas que dijeron sentirse "muy confiadas" aumentó en cada una de estas tres áreas en comparación con 2017.

 

Sin embargo, con respecto a las empresas que manifestaron “no confiar en absoluto”, el porcentaje aumentó con respecto a 2017 en lo relacionado a “entender, evaluar y cuantificar las amenazas cibernéticas, en tanto que en los otros dos pilares disminuyó un poco.

En general, en Latinoamérica, si bien hubo un notable incremento en la “alta confianza” en los tres pilares, en lo relacionado a “confianza” y “nada de confianza”, los resultados fueron negativos con relación a 2017.

Riesgo estratégico, gestión táctica

A pesar de que el riesgo cibernético se ubica entre las prioridades estratégicas de la organización, la mayoría de las organizaciones continúan administrándolo tácticamente.

En general, las empresas todavía luchan por crear una cultura de ciberseguridad fuerte con una gobernanza, priorización, enfoque de gestión y recursos apropiados. Esto coloca a las organizaciones en desventaja en la creación de resiliencia cibernética y en la confrontación del panorama cada vez más complejo del riesgo cibernético.

Por ejemplo, para la mayoría de las empresas, los roles de tecnología de la información y seguridad de la información continúan siendo vistos como los principales propietarios de la gestión del riesgo cibernético.

De hecho, el dominio del área IT/Sistemas aumentó en los últimos dos años, con casi 9 de cada 10 empresas que identificaron a IT / InfoSec como el principal responsable en 2019, un aumento con respecto al 60% de 2017. Contrariamente, en 2019 disminuyó la responsabilidad asignada al liderazgo ejecutivo, con un 53%, contra el 57 del 2017.

 

Una señal positiva es que en 2019 aumentó la responsabilidad asignada a los gerentes de riesgos, con un 46%, frente al 17% de hace dos años.

Si bien este fue un aumento considerable desde 2017, queda un margen considerable para aumentar la participación de los equipos de gestión de riesgos para impulsar las agendas de riesgo cibernético.

El hecho de que el área de IT/Sistemas sea nombrada responsable principal casi el doble de veces que los gerentes de riesgos apunta a una visión continua y errónea del riesgo cibernético como un problema de tecnología, en lugar de un riesgo comercial crítico que merece un enfoque estratégico de gestión de riesgos empresariales.

La cuestión de quién lidera la gestión del riesgo cibernético es solo un área en la que hay disonancia entre las percepciones y acciones de una organización.

A pesar del alto nivel de preocupación estratégica que las organizaciones dicen tener por los riesgos cibernéticos, no todos los "responsables de riesgos" internos le prestan la atención que merece.

 

Solo el 9% de líderes ejecutivos / junta directiva dijeron que pasaron varias semanas durante el año pasado enfocándose en problemas de riesgo cibernético.

Incluso entre los encuestados de IT/Sistemas (principales responsables de la gestión del riesgo cibernético, según la encuesta), solo el 17% dijo que pasaron varios meses dedicados a problemas cibernéticos. Esta baja asignación de tiempo es preocupante dado que estos dos grupos están clasificados entre los tres principales responsables organizacionales de la gestión del riesgo cibernético.

La importancia del liderazgo de alto nivel que impulsa la agenda del riesgo cibernético se destaca por la brecha de confianza en la resiliencia cibernética general, según lo informado por aquellos que carecen de dicho liderazgo.

A nivel global, entre las organizaciones que citaron la falta de un mandato de alto nivel como una barrera para la gestión eficaz del riesgo cibernético, solo el 19% tenía mucha confianza en cualquiera de las tres áreas de resiliencia cibernética, en comparación con el 31% de todos los encuestados.

 

A pesar del amplio reconocimiento del riesgo cibernético como una de las principales prioridades, actualmente muy pocas organizaciones toman medidas para crear una "cultura" de seguridad cibernética sólida con estándares apropiados para la gobernanza, la priorización, el enfoque de gestión y la propiedad.

Esto los coloca en desventaja tanto en el desarrollo de la resiliencia cibernética como en la confrontación de los crecientes desafíos cibernéticos de un entorno tecnológico cambiante y de cadena de suministro.

Otros tres hallazgos de datos apuntan a la disonancia entre las preocupaciones de alto riesgo cibernético y el enfoque táctico:

Las decisiones de inversión no se basan en gran medida en la medición cuantitativa del riesgo y son en gran medida reactivas:

  • Solo el 33% de las organizaciones en Latinoamérica emplean métodos cuantitativos para medir y expresar sus exposiciones cibernéticas. Si bien esto es casi el cuádruple que en 2017, todavía significa que 7 de cada 10 organizaciones continúan usando métodos vagos y descriptivos para evaluar sus exposiciones cibernéticas, y el 29% dice que no tienen ningún método de evaluación.
  • El 62% de las organizaciones dijo que el principal desencadenante de aumentos en las inversiones de riesgo cibernético sería un ataque cibernético contra su organización: un enfoque reactivo que descuida la importancia de la evaluación, planificación y medición proactivas para optimizar la asignación de capital cibernético.

Las acciones tomadas por la mayoría de las organizaciones se centran en la tecnología y la prevención al descuido de otras medidas de construcción de resiliencia.

Mientras que el 81% y el 73% dijeron que han mejorado la seguridad del hardware y la protección de datos respectivamente en los últimos 12 a 24 meses, aproximadamente solo el 30% han modelado escenarios de pérdida cibernética, llevado a cabo una capacitación de gestión de la mesa de trabajo o evaluado el riesgo de la cadena de suministro. Menos de la mitad dijo que revisaron o actualizaron su plan de respuesta cibernética.

Si bien el rango y el tipo de acciones necesarias para una gestión eficaz del riesgo cibernético varía según la empresa, la mejor práctica para todas las organizaciones, independientemente de la industria o el tamaño, es aplicar un marco riguroso de gestión del riesgo al riesgo cibernético como lo hacen para otros riesgos estratégicos.

Un enfoque integral que incorpore planificación, capacitación, transferencia de riesgos y ensayo de respuesta, así como prevención, es la mejor hoja de ruta para desarrollar la resiliencia cibernética.