Solo el 15% de las empresas latinoamericanas presentan una madurez de riesgo cibernético superior al nivel “básico”, y que las tres áreas más críticas de riesgo cibernético son administración de terceros, resiliencia empresarial y seguridad de las aplicaciones, de un total de cino aspectos calificados, según el informe 2023 Cyber Resilience Report de la firma AON.

A pesar de estas cifras, el informe mundial consideró que el promedio de madurez cibernética general en las empresas de América Latina es igual al de las organizaciones del Reino Unido, Europa, Medio Oriente y África. Sin embargo, estos niveles parecen estar por detrás de sus pares estadounidenses.

Así, cuando se trata de administrar el riesgo de terceros a través de acuerdos legales, únicamente el 17% de las empresas de Latinoamérica presentan puntuaciones de riesgo superiores a 2.5 de 4.0. Este aspecto califica si las empresas cuentan con estrategias de seguridad cibernética para los incidentes o ataques que puedan ocurrir. Los datos muestran que en general, las compañías de la región carecen de todas éstas y de un plan de resiliencia cibernética.

En cuanto a la resiliencia empresarial, apenas un 25% de las compañías presentaron un perfil de riesgo superior al “básico” en cuanto a la continuidad de negocio o contar con un plan de recuperación ante desastres centrado en el restablecimiento y cuantificación del impacto financiero. El 35% de las empresas tuvo un perfil de riesgo superior al “básico” para la planificación de respuestas ante incidentes y ejercicios de simulación.

El informe también detectó deficiencias en otra área importante de control: la seguridad de las aplicaciones. Menos del 35% de los empresas latinoamericanas presentaron un perfil de riesgo superior al “básico” en esta área, dado que no están gestionando de manera adecuada el proceso de permisos sobre aplicaciones de software, ni se están capacitando a los desarrolladores de software sobre seguridad, ni tampoco se realizan análisis dinámicos y pruebas de penetración para aplicaciones.

“Las empresas en Latinoamérica y en el mundo han experimentado nuevas formas de volatilidad en los últimos cuatro años con el aumento en la frecuencia y gravedad de las amenazas cibernéticas y los eventos de ransomware, seguidos de un mercado de seguros cibernéticos con primas y retenciones crecientes, así como un escrutinio más agudo en la suscripción”, explicó Sergio Torres, specialty leader – Financial & Professional Services & Cyber Latin America de Aon.

“Por ello, la alta dirección de las empresas está más consciente que los eventos cibernéticos tienen el potencial de impactar en todas las áreas de su negocio. Lograr la resiliencia cibernética es un tema recurrente para ellos y, por tanto, la amenaza ahora se está abordando desde una perspectiva holística de riesgo”, dijo el experto.

Una visión por industria

Al enfocarse en tres sectores del mercado mundial (finanzas y seguros, salud y sector industrial), los datos de CyQu calificaron con un desempeño relativamente bueno a las empresas de la región en comparación con sus pares de Europa, Medio Oriente, África, Reino Unido y EUA, donde su posición cibernética general alcanzó el nivel de “gestionada” en 2022.

• Finanzas y de seguros: las empresas latinoamericanas lograron un puntaje promedio general de 2.7 o “gestionado”, lo que indica que han implementado tecnologías y prácticas de administración de riesgos en toda la organización. Este nivel de gestión de riesgos refleja un entorno regulatorio en el que operan estas empresas y un ambiente de redes más maduro. Así, los indicadores predictivos respaldan prácticas de seguridad cibernética al definir políticas, procesos y procedimientos, disponen de métodos uniformes para responder eficazmente a los cambios en los riesgos, existe una arquitectura sólida, fuertes mecanismos de defensa contra violaciones del perímetro y cuidado vital en la seguridad de redes, entre otros aspectos.

• Salud: la madurez de riesgo cibernético para las empresas de la región parece ser el mismo que para sus pares en Estados Unidos. Sin embargo, las tecnologías y prácticas de gestión de riesgos de seguridad cibernética aún deben formalizarse más, mejorando la seguridad de las aplicaciones, la resiliencia empresarial, la seguridad física y la administración de terceros. La implementación consistente de mecanismos de autenticación multifactorial en las redes puede ser crítica, ya que la vulneración de contraseñas puede comprometer datos sensibles o el acceso de intrusos.

• Sector industrial: presenta índices similares en la mayoría de las áreas en comparación con sus pares estadounidenses. Sin embargo, al igual que sus contrapartes del sector salud, las prácticas y tecnologías de administración de riesgos de ciberseguridad no están formalizadas, tienen un alcance limitado, el riesgo se gestiona ad hoc y, a veces, de manera reactiva. Los problemas más críticos se refieren a  la administración de terceros, la seguridad de las aplicaciones y la resiliencia empresarial.

El 2023 Cyber Resilience Report de la firma AON fue desarrollado como una guía que ayuda a los líderes empresariales a comparar la madurez del riesgo cibernético de su organización con la de sus pares y tomar mejores decisiones al administrar este riesgo en seis rubros concretos: cibernético, operativo, cadena de suministro, interno, reputacional y sistémico. 

La encuesta se basa en datos de clientes propios recogidos en la Evaluación del Cociente Cibernético de Aon (Aon CyQu), la Aplicación Suplementaria de Ransomware de Aon y la Aplicación de Tecnología Operativa de Aon. CyQu – una plataforma global de evaluación de riesgos que ayuda a las organizaciones a gestionar mejor el riesgo cibernético y proporciona visibilidad sobre las exposiciones cibernéticas y los factores de asegurabilidad.