En el último informe de Ciberresiliencia 2023 publicado por Aon plc, se destacan preocupantes hallazgos sobre la madurez de riesgo cibernético en las empresas latinoamericanas.
Según el estudio, apenas el 15% de las empresas en la región han alcanzado un nivel de madurez cibernética superior al nivel “básico”.
Este dato revela una brecha significativa en la preparación de las empresas latinoamericanas para hacer frente a las amenazas cibernéticas emergentes.
El informe identifica tres áreas críticas de riesgo cibernético que han surgido como desafíos prominentes para las empresas en América Latina.
En primer lugar, la administración de terceros se presenta como un punto débil, indicando una necesidad urgente de mejorar la supervisión y evaluación de los proveedores y socios comerciales en términos de ciberseguridad.
En segundo lugar, la resiliencia empresarial se destaca como una preocupación esencial, subrayando la importancia de implementar estrategias efectivas para mantener la continuidad del negocio en caso de un ciberataque.
Por último, la seguridad de las aplicaciones también se revela como un área problemática, instando a las organizaciones a fortalecer las defensas de sus sistemas y software.
A pesar de estos desafíos, el informe mundial ofrece una sorprendente revelación: el nivel de madurez cibernética general en las empresas de América Latina se encuentra al mismo nivel que el de las organizaciones del Reino Unido, Europa, Medio Oriente y África. Esta equivalencia puede interpretarse como un indicador positivo del progreso alcanzado en la región, aunque las cifras siguen siendo insatisfactorias.
Sin embargo, las empresas latinoamericanas parecen quedarse rezagadas en comparación con sus homólogos estadounidenses. Mientras que las compañías en América Latina enfrentan desafíos en la gestión de riesgos cibernéticos, sus contrapartes en Estados Unidos han logrado avanzar significativamente en la preparación contra las amenazas digitales.
Estos datos subrayan la necesidad crítica de que las empresas en América Latina intensifiquen sus esfuerzos para mejorar su madurez cibernética. La ciberseguridad ya no es un tema periférico; es un componente fundamental para garantizar la estabilidad y sostenibilidad de las organizaciones en un entorno digital cada vez más complejo y amenazante.
Las empresas de la región están en una encrucijada: deben invertir en tecnologías avanzadas, capacitar a su personal y establecer políticas de seguridad robustas para fortalecer su resiliencia cibernética.
Solo mediante un enfoque integral y proactivo hacia la ciberseguridad podrán las empresas latinoamericanas mitigar los riesgos y proteger sus operaciones frente a las crecientes amenazas cibernéticas en el panorama empresarial actual.
Informe de Ciberresiliencia 2023, una herramienta invaluable para los líderes empresariales en América Latina. Este informe se presenta como una guía esencial que permite a las organizaciones comparar la madurez del riesgo cibernético de su empresa con la de sus pares.
Además, proporciona una base sólida para tomar decisiones informadas al administrar los riesgos en seis áreas específicas: cibernética, operativa, cadena de suministro, interna, reputacional y sistémica.
La investigación se basa en datos recopilados de clientes propios a través de la Evaluación del Cociente Cibernético de Aon (Aon CyQu), la Aplicación Suplementaria de Ransomware de Aon y la Aplicación de Tecnología Operativa de Aon.
CyQu, una plataforma global de evaluación de riesgos, juega un papel central al ayudar a las organizaciones a gestionar de manera efectiva el riesgo cibernético.
Esta herramienta proporciona visibilidad sobre las exposiciones cibernéticas y los factores de asegurabilidad, permitiendo a las empresas comprender mejor su postura frente a las amenazas cibernéticas emergentes.
El informe no solo identifica áreas de preocupación, como la administración de terceros, la resiliencia empresarial y la seguridad de las aplicaciones, sino que también ofrece una visión holística de la madurez cibernética. Con seis rubros concretos, las organizaciones pueden evaluar su posición actual y tomar medidas proactivas para mejorar su resiliencia frente a las amenazas cibernéticas.
En un mundo digital cada vez más complejo, esta guía proporciona a los líderes empresariales las herramientas necesarias para fortalecer sus defensas cibernéticas y proteger sus operaciones. La capacidad de comparar la madurez del riesgo cibernético con sus pares brinda una ventaja competitiva y garantiza que las empresas estén preparadas para enfrentar los desafíos cibernéticos del futuro.
Este informe sirve como un recordatorio convincente de que la ciberseguridad es esencial para la sostenibilidad y el crecimiento continuo de las empresas en la era digital.
Al utilizar las herramientas y conocimientos proporcionados en el Informe de Ciberresiliencia 2023, las organizaciones pueden fortalecer sus defensas cibernéticas y navegar por el paisaje digital con confianza y resiliencia.
El panorama de la ciberseguridad y la resiliencia empresarial en América Latina, como se revela en el Informe de Ciberresiliencia 2023 de Aon plc, presenta desafíos significativos para las empresas de la región. Según el informe, solo un pequeño porcentaje de empresas ha logrado establecer estrategias efectivas para gestionar los riesgos cibernéticos y garantizar la continuidad del negocio frente a posibles desastres y ataques cibernéticos.
En lo que respecta a la administración del riesgo de terceros a través de acuerdos legales, únicamente el 17% de las empresas latinoamericanas han obtenido puntuaciones de riesgo superiores a 2.5 de 4.0. Este indicador evalúa si las empresas han implementado estrategias de seguridad cibernética para hacer frente a posibles incidentes o ataques. Los datos indican que la mayoría de las compañías en la región carecen de estas estrategias y, alarmantemente, no cuentan con un plan de resiliencia cibernética.
En lo que concierne a la resiliencia empresarial, los números no son mucho más alentadores. Apenas un 25% de las empresas ha logrado un perfil de riesgo superior al nivel “básico” en lo que respecta a la continuidad del negocio. Esto implica que solo una cuarta parte de las empresas cuenta con un plan de recuperación ante desastres centrado en el restablecimiento y la cuantificación del impacto financiero. Además, solo el 35% de las empresas ha obtenido un perfil de riesgo superior al nivel “básico” para la planificación de respuestas ante incidentes y la realización de ejercicios de simulación.
Estos datos subrayan la necesidad urgente de que las empresas latinoamericanas fortalezcan sus medidas de seguridad cibernética y desarrollen planes de resiliencia empresarial efectivos. La ciberseguridad ya no es un lujo, sino una necesidad crítica en un entorno digital cada vez más hostil. La falta de preparación puede tener consecuencias graves para las operaciones y la reputación de las empresas. Es imperativo que las organizaciones de la región tomen medidas inmediatas para abordar estas deficiencias y proteger sus activos y datos contra las amenazas cibernéticas en evolución.
La seguridad de las aplicaciones es una piedra angular en la defensa contra las amenazas cibernéticas en el mundo digital actual. Sin embargo, según el Informe de Ciberresiliencia 2023 de Aon plc, las empresas en América Latina enfrentan desafíos significativos en esta área crucial. Los datos revelan que menos del 35% de las empresas latinoamericanas han alcanzado un perfil de riesgo superior al nivel “básico” en lo que respecta a la seguridad de las aplicaciones.
Estos resultados preocupantes indican que la mayoría de las empresas en la región no están gestionando adecuadamente el proceso de permisos sobre aplicaciones de software. Además, la capacitación insuficiente de los desarrolladores de software sobre seguridad y la falta de análisis dinámicos y pruebas de penetración para las aplicaciones son áreas de preocupación destacadas en el informe.
La gestión adecuada de los permisos sobre aplicaciones es esencial para garantizar que solo los usuarios autorizados tengan acceso a ciertas funciones y datos dentro de las aplicaciones. La falta de esta gestión puede dejar vulnerabilidades significativas en el sistema, que los ciberdelincuentes pueden explotar fácilmente.
La capacitación de los desarrolladores de software en seguridad es igualmente importante. Los desarrolladores que comprenden las mejores prácticas de seguridad pueden escribir código más seguro desde el principio, lo que reduce la probabilidad de que se introduzcan vulnerabilidades en las aplicaciones durante el desarrollo.
Además, llevar a cabo análisis dinámicos y pruebas de penetración para las aplicaciones es esencial para identificar y remediar posibles debilidades en la seguridad antes de que sean explotadas por atacantes. Estas pruebas proporcionan una visión en profundidad de las vulnerabilidades de seguridad y permiten a las empresas corregirlas antes de que se conviertan en puntos de entrada para los ciberdelincuentes.
Ante estos hallazgos, es imperativo que las empresas en América Latina tomen medidas inmediatas para mejorar la seguridad de sus aplicaciones. Esto incluye implementar prácticas de gestión de permisos sólidas, proporcionar formación en seguridad a los desarrolladores y llevar a cabo análisis regulares de seguridad para identificar y remediar vulnerabilidades.
Solo a través de un enfoque integral hacia la seguridad de las aplicaciones podrán las organizaciones proteger sus sistemas y datos de las crecientes amenazas cibernéticas en el panorama empresarial actual.
Las palabras de Sergio Torres, líder especializado en Servicios Financieros, Profesionales y Ciberseguridad en América Latina de Aon, subrayan la creciente conciencia en las empresas, tanto en América Latina como en todo el mundo, sobre la naturaleza cambiante y cada vez más grave de las amenazas cibernéticas. En los últimos cuatro años, las empresas han experimentado nuevas formas de volatilidad, caracterizadas por un aumento en la frecuencia y gravedad de los ataques cibernéticos y los eventos de ransomware.
Este panorama ha llevado a un mercado de seguros cibernéticos con primas y retenciones en constante aumento, así como a un escrutinio más profundo durante el proceso de suscripción. Las empresas han comprendido que los eventos cibernéticos tienen el potencial de impactar en todas las áreas de su negocio, desde la operación diaria hasta la reputación de la marca y la confianza del cliente.
Ante estas amenazas crecientes y cambiantes, las altas direcciones de las empresas están cada vez más conscientes de la necesidad de lograr la resiliencia cibernética. Este enfoque holístico hacia la gestión del riesgo implica no solo abordar las amenazas cibernéticas individualmente, sino también considerar cómo estas amenazas pueden afectar a toda la organización y cómo se interconectan con otros aspectos del negocio.
La resiliencia cibernética implica una preparación completa y proactiva que abarca desde implementar medidas de seguridad tecnológica hasta capacitar al personal y establecer políticas y procedimientos claros para responder a incidentes cibernéticos. Esta perspectiva holística es esencial para garantizar que las empresas estén preparadas para enfrentar las complejidades del panorama cibernético actual y proteger sus operaciones de manera efectiva.
En última instancia, la conciencia de la alta dirección sobre la importancia de la resiliencia cibernética es un paso crucial hacia la creación de un entorno empresarial más seguro y sólido en el mundo digital en constante evolución.
Una visión por industria
La evaluación de los datos de CyQu por industria ofrece una visión interesante sobre la madurez cibernética de las empresas en América Latina en comparación con sus pares de otras regiones clave. Al centrarse en tres sectores del mercado mundial, a saber, finanzas y seguros, salud y sector industrial, se revela un panorama variado de preparación cibernética en la región.
Finanzas y de seguros:
El puntaje promedio de 2.7 o “gestionado” obtenido por las empresas latinoamericanas en el sector de finanzas y seguros es un indicador positivo de la madurez cibernética en estas industrias. Este nivel sugiere que estas empresas han implementado tecnologías y prácticas de administración de riesgos en toda la organización, lo que indica un enfoque proactivo y efectivo hacia la ciberseguridad.
La calificación de “gestionado” implica que estas empresas han establecido políticas, procesos y procedimientos sólidos respaldados por indicadores predictivos. Estos indicadores permiten a las organizaciones anticipar y responder eficazmente a los cambios en los riesgos cibernéticos, lo que es fundamental en un entorno digital en constante evolución.
Además, la presencia de una arquitectura de seguridad sólida, mecanismos de defensa robustos contra violaciones del perímetro y un enfoque cuidadoso en la seguridad de redes son aspectos vitales para mantener la ciberseguridad en el sector financiero y de seguros. Estas medidas indican un alto grado de conciencia sobre la importancia de proteger la integridad y la confidencialidad de los datos financieros y de los clientes, y sugieren una inversión significativa en tecnologías y prácticas de seguridad cibernética.
El entorno regulatorio en el que operan estas empresas también ha desempeñado un papel fundamental al impulsar las prácticas de seguridad cibernética. Las regulaciones y estándares cada vez más estrictos han llevado a un mayor enfoque en la protección de datos y la ciberseguridad en el sector financiero y de seguros.
En resumen, el puntaje “gestionado” obtenido por las empresas latinoamericanas en el sector de finanzas y seguros es un testimonio del compromiso de estas organizaciones con la seguridad cibernética. Sin embargo, es crucial que estas empresas continúen adaptándose a las amenazas cibernéticas cambiantes y evolucionando sus estrategias de seguridad para mantenerse un paso adelante en el juego de la ciberseguridad. La vigilancia continua y la adopción de las mejores prácticas son esenciales para proteger la integridad y la confidencialidad de los datos en un entorno digital en constante cambio.
Salud:
la madurez de riesgo cibernético para las empresas en la región parece estar al mismo nivel que sus pares en Estados Unidos, hay áreas específicas que requieren una mayor atención y mejora.
1. Formalización de Tecnologías y Prácticas de Gestión de Riesgos de Seguridad Cibernética:
Aunque la madurez de riesgo cibernético puede estar al mismo nivel que en Estados Unidos, la formalización de tecnologías y prácticas de gestión de riesgos de seguridad cibernética aún puede ser insuficiente en el sector de la salud en América Latina. Esto implica que las empresas pueden estar operando en un nivel adecuado en términos de riesgo cibernético, pero aún deben trabajar en la formalización y estandarización de sus enfoques de seguridad para garantizar una protección consistente y efectiva contra las amenazas cibernéticas.
2. Mejora en Áreas Específicas:
El informe destaca áreas específicas que requieren mejoras. Estas áreas incluyen la seguridad de las aplicaciones, la resiliencia empresarial, la seguridad física y la administración de terceros. La seguridad de las aplicaciones es crítica, dado que las vulnerabilidades en el software pueden ser explotadas por los ciberdelincuentes para acceder a datos sensibles o comprometer la integridad de los sistemas.
Además, la resiliencia empresarial es fundamental para garantizar la continuidad del negocio en caso de un ciberataque o desastre. Las organizaciones deben tener planes de recuperación bien establecidos y probados para minimizar el impacto en caso de un evento cibernético.
La seguridad física también es esencial, ya que la protección de los activos y la prevención del acceso no autorizado a las instalaciones son aspectos fundamentales de la seguridad cibernética integral. La administración de terceros, por otro lado, implica supervisar y evaluar las prácticas de seguridad cibernética de los proveedores y socios comerciales, ya que sus vulnerabilidades pueden afectar directamente a la organización.
3. Autenticación Multifactorial:
La implementación consistente de mecanismos de autenticación multifactorial en las redes es resaltada como crítica. La vulneración de contraseñas sigue siendo una de las tácticas comunes utilizadas por los ciberdelincuentes para comprometer datos sensibles. La autenticación multifactorial proporciona una capa adicional de seguridad al requerir múltiples formas de autenticación, lo que dificulta significativamente el acceso no autorizado incluso si las contraseñas son comprometidas.
En conclusión, mientras que el sector de la salud en América Latina ha alcanzado cierto nivel de madurez de riesgo cibernético, es esencial centrarse en áreas específicas de mejora, incluyendo la formalización de prácticas de seguridad, la atención a las vulnerabilidades de las aplicaciones, la resiliencia empresarial, la seguridad física y la gestión efectiva de terceros. Además, la implementación rigurosa de la autenticación multifactorial puede reforzar significativamente las defensas contra las amenazas cibernéticas. Estas medidas ayudarán a las organizaciones de salud en la región a fortalecer sus posturas de seguridad y proteger los datos y la confidencialidad de los pacientes de manera más efectiva.
Sector Industrial:
La falta de formalización en las prácticas y tecnologías de administración de riesgos de ciberseguridad es una preocupación significativa. A pesar de tener cierto nivel de madurez cibernética, el enfoque en la gestión de riesgos en el sector industrial en la región puede ser ad hoc y, en ocasiones, reactivo.
1. Administración de Terceros:
La gestión de terceros sigue siendo un área crítica de preocupación en el sector industrial. La falta de formalización en la administración de proveedores y socios comerciales puede dejar a las organizaciones vulnerables a los riesgos asociados con las prácticas de seguridad de terceros. Supervisar y evaluar adecuadamente a los proveedores y socios comerciales es esencial para mitigar las amenazas cibernéticas que pueden surgir de las conexiones externas.
2. Seguridad de las Aplicaciones:
La seguridad de las aplicaciones es otro punto débil destacado. Las vulnerabilidades en el software pueden ser explotadas por ciberdelincuentes para comprometer sistemas y datos. Asegurar que las aplicaciones estén protegidas adecuadamente y que se realicen pruebas de seguridad regulares puede reducir significativamente el riesgo de vulnerabilidades explotadas.
3. Resiliencia Empresarial:
La resiliencia empresarial, que implica la capacidad de una organización para recuperarse y mantener la continuidad del negocio después de un ciberataque o desastre, también requiere mayor atención en el sector industrial. Las empresas deben desarrollar planes de respuesta efectivos y realizar ejercicios de simulación periódicos para estar preparadas para enfrentar cualquier interrupción en sus operaciones.
El hecho de que las prácticas y tecnologías de administración de riesgos de ciberseguridad no estén formalizadas y tengan un alcance limitado puede dejar al sector industrial vulnerable a las amenazas cibernéticas emergentes. La formalización de políticas y procedimientos, la implementación de tecnologías de seguridad avanzadas y el enfoque proactivo en la gestión de riesgos son esenciales para mejorar la postura de ciberseguridad en el sector industrial en América Latina.
Es imperativo que las empresas del sector industrial en la región aborden de manera activa y continua las áreas críticas identificadas, incluyendo la administración de terceros, la seguridad de las aplicaciones y la resiliencia empresarial. Solo a través de un enfoque integral y proactivo hacia la ciberseguridad podrán estas organizaciones proteger sus operaciones y datos en un entorno digital cada vez más desafiante.
Las palabras de Carlos Noseda, experto en aspectos cibernéticos de Aon en Argentina, subrayan la importancia de la resiliencia cibernética y empresarial en un mundo digital cada vez más desafiante. Establece tres puntos concretos que las organizaciones deben considerar para minimizar los riesgos financieros, operativos y de reputación en un entorno volátil:
1) Administración de Terceros: Alinear a los proveedores y socios comerciales con las políticas de la empresa es esencial. Realizar auditorías de recuperación ante desastres con terceros puede ayudar a evaluar su preparación para hacer frente a eventos cibernéticos. Además, elaborar predicciones del impacto financiero del riesgo cibernético puede proporcionar información valiosa para definir estrategias de seguridad cibernética eficaces.
2) Resiliencia Empresarial: La implementación de planes de continuidad del negocio y recuperación técnica ante desastres es fundamental. Estos planes aseguran la capacidad de la organización para restablecerse después de fallas de software o tecnología crítica, problemas con proveedores de tecnología o servicios públicos, pérdida o modificación de información vital y divulgación de información extremadamente sensible. Garantizar la presencia de estos planes puede marcar la diferencia en la capacidad de una organización para mantenerse operativa incluso en situaciones adversas.
3) Seguridad en las Aplicaciones: La seguridad en las aplicaciones es un componente crucial de la resiliencia cibernética. Capacitar a los desarrolladores de manera regular en temas de seguridad puede ayudar a garantizar que el código se escriba con prácticas seguras desde el principio. Mantener un inventario actualizado de las aplicaciones y eliminar el software no autorizado son pasos adicionales esenciales para elevar el nivel de seguridad en las aplicaciones.
En resumen, las organizaciones deben adoptar un enfoque proactivo y multifacético hacia la resiliencia cibernética y empresarial. Al alinear a los terceros con las políticas internas, implementar planes de continuidad del negocio, y garantizar la seguridad en las aplicaciones, las organizaciones pueden fortalecer su postura de seguridad y estar mejor preparadas para enfrentar las complejidades del panorama cibernético actual. Estas prácticas no solo protegen contra amenazas cibernéticas, sino que también ayudan a salvaguardar la integridad y la confidencialidad de los datos, manteniendo la confianza del cliente y la reputación de la empresa en todo momento.
Para obtener más Información sobre el Reporte de Resiliencia Cibernética 2023, consúltelo aquí.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
Hamás: hacktivistas atacan a Israel con BiBi-Linux Wiper (ELF x64)
CloudExit: Elon Musk instala en tema para 2024
4 ERRORES CLAVE QUE COMETEN LOS CISO
WinRAR: ¿puede afectar a las elecciones 2023?
Cibercrimen: Rusia y China lideran el mundo en 2023
NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM
Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia, Ciberresiliencia,