EVOLUCIÓN, MADUREZ Y TENDENCIAS DE CIBERSEGURIDAD EN MÉXICO

El 79% de las empresas han enfrentado un mayor número de ciberataques a raíz del confinamiento. Por su parte, el 60% han experimentado ataques de phishing en el último año.

Los líderes a cargo de ciberseguridad en las empresas del país han reconocido que, a raíz de la coyuntura actual y las medidas de confinamiento derivadas del Covid-19, el 79% de las compañías han enfrentado un mayor número de ciberataques. El 97% de estos directivos calcula un incremento de entre 6% y más del 15%. Conoce más sobre las tendencias en ciberseguridad en México.

Esta perspectiva muestra el grado actual de automatización y dependencia de las tecnologías de la información por parte de las organizaciones, de acuerdo con el más reciente estudio “Combatir el cibercrimen en la nueva realidad” de KPMG en México.

Te puede interesar: Los cambios en ciberseguridad ante la nueva realidad

“Covid-19 reconfiguró los negocios: sin ciberseguridad como habilitadora de la operación, difícilmente una empresa podrá ser parte de la era digital en la nueva realidad”, comentó Rommel García, Socio de Asesoría en Ciberseguridad de KPMG en México.

Una nueva realidad con más riesgos de cibercrimen

Actualmente, el trabajo a distancia se ha convertido en el día a día de la operación. El cambio en las dinámicas laborales ha permitido a las organizaciones mantenerse y, en algunos casos, crecer. Sin embargo, los encargados de la ciberseguridad tienen conciencia del alto impacto que un problema de seguridad de la información puede acarrear para el negocio.

Entre los principales riesgos que perciben las empresas se encuentran:

• Fuga, filtración o robo de información confidenciales (74%).
• Interrupción de las operaciones (57%).
• Daño a su infraestructura (27%).
• Extorsión (22%).
• Impacto en la calidad de los productos o servicios (17%).

Por otro lado, el 60% de las empresas han experimentado ataques de phishing en el último año, convirtiéndolo en la modalidad cibercriminal más común. A este le siguen:

• Malware (43%).
• Ransomware (18%).
• Exposición de información confidencial y denegación de servicio (16%).
• Robo de identidad (13%).
• Transacciones financieras no autorizadas (11%).
• Intervención de correos empresariales (business email compromise) (10%)
• Otro tipo de hackeo (9%).

“En el pasado, lograr el compromiso de la Alta Dirección de la organización entorno a la ciberseguridad ha sido complicado”, agregó García. “Al parecer, años de sensibilización han rendido frutos, diferentes preguntas del estudio realizado por KPMG, nos muestran que los altos directivos son ya conscientes y responsables de la ciberseguridad, y su apoyo se refleja en los crecientes presupuestos invertidos en esta área”.

Conciencia y enfoque en la alta dirección

De acuerdo con los resultados, los directivos reconocen que el mayor impacto que encaran las organizaciones por ciberataques es el económico, aunque se perciben otros efectos, como los daños reputacionales, de imagen, legales, pérdida de clientes, entre otros. ¿Qué más se puede esperar en cuanto tendencias de ciberseguridad para México?

En caso de un ataque, los líderes de ciberseguridad comentan que las actividades prioritarias para su empresa son:

• Presentar pruebas de que las vulnerabilidades han sido superadas (68%).
• Dar a conocer a los clientes el problema, antes de que lo informen terceros (53%).
• Proporcionar actualizaciones frecuentes sobre la situación (41%).
• Solucionar los problemas de robo de identidad y otros daños a los clientes afectados (36%).
• Ofrecer una línea directa a los clientes para consultas sobre seguridad de la información (34%).
• Garantizar una compensación a las víctimas (25%).
• Disculparse con las partes perjudicadas (16%).

La Alta Dirección considera que el porcentaje del presupuesto anual de operación de su empresa invertido en ciberseguridad es:

• Menos de 1% (29%).
• Entre 1% y 5% (34%).
• Entre 6% y 10% (21%).
• Más de 10% (16%).

Mejorar la protección de los activos de información es la constante para las áreas de ciberseguridad. En este sentido, las organizaciones más avanzadas han madurado sus programas: cerca de la mitad de la muestra (49%) se percibe con competencias avanzadas y de liderazgo.

Respecto al estado de ciberseguridad empresas, la Alta Dirección respondió:

• Líder: gestión de riesgos con enfoque predictivo y uso de ciberinteligencia (14%).
• Avanzado: competencias para responder a los ataques de manera efectiva (35%).
• Intermedio: capacidad más amplia para detectar ataques (26%).
• Básico: prevención con base en las experiencias de otros; detección elemental de ataques y monitoreo de proceso (20%).
• Inicial: reacción a los eventos cuando se presentan (5%).

Principales retos en ciberseguridad

El personal es el eslabón débil en la estrategia de ciberseguridad. Representa el principal aspecto a mejorar en las organizaciones (54%). Ante ello, el Chief Information Security Officer (CISO) habrá de poner especial énfasis en la capacitación de los usuarios, así como del personal a cargo de la ciberseguridad.

Bajo este contexto, es importante buscar nuevas formas de sensibilización, más allá de un entrenamiento tradicional, ya que las fórmulas y métodos que se han utilizado hasta ahora han demostrado ser ineficaces.

Según el estudio los principales aspectos que deben mejorar las organizaciones son:

• Capacitación a los usuarios y personal a cargo de la ciberseguridad (54%).
• Gestión de vulnerabilidades (50%).
• Gestión de riesgos en terceros (proveedores, socios de negocios, entre otros) (47%).
• Plan de continuidad del negocio (39%).
• Gestión de identidades o manejo de cuentas privilegiadas (34%).
• Cumplimiento en materia de privacidad, leyes o regulaciones (32%).

“Los delincuentes cibernéticos no tienen fronteras”, señaló Rolando Garay, Socio Líder de Servicios de Tecnología y Transformación de KPMG en México. “Son sofisticados e impredecibles, convirtiéndose en uno de los grandes retos de la nueva realidad”.

Lee también: 5 elementos clave de una estrategia de ciberseguridad óptima para regresar a la oficina

Los desafíos aumentan de cara al futuro, sobre todo en áreas con elevado grado de riesgo. Los encuestados calificaron dicho grado de vulnerabilidad de las siguientes tendencias, ante los ciberataques:

Adaptarse a la nueva realidad

El estudio muestra que las estrategias y arquitecturas de ciberseguridad actuales deben ajustare al entorno actual de negocios. Para lograrlo, es necesario impulsar el cambio debido a varios factores:

• Posible generalización del home office dejará más expuesta la información (60%).
• Habrá amenazas nuevas (49%).
• Las estrategias de los ciberataques serán diferentes (42%).
• Será necesario optimizar costos (33%).
• Los modelos de negocio cambiarán de manera considerable (31%).
• Todas las anteriores (35%).

“Sin importar el tamaño de la empresa o industria, una cultura de ciberseguridad responsable consiste en encontrar la ecuación adecuada entre los controles de responsabilidad de las organizaciones y de los usuarios”, afirmó Gerardo Rojas, Socio Líder de Asesoría de KPMG en México y Centroamérica.