Jefferson Gutiérrez, socio líder de Servicios de Tecnología Forense de KPMG en México
Los cibercriminales no ceden, pero ¿estamos realmente preparados para afrontar los riesgos que representan? 83 por ciento de las compañías en América Latina reportan ser víctimas de ciberataques con un impacto significativo en sus negocios en los últimos 12 meses. Aun así, una preocupante mayoría se siente satisfecha con el tiempo que le toma detectar y controlar estos incidentes, que puede representar meses.
El estudio Una triple amenaza en las Américas. 2022 KPMG Fraud Outlook, publicado por KPMG en México, señala que el cibercrimen es uno de los elementos que representa una gran fuente de preocupación para los directivos de organizaciones e industrias por los impactos reputacionales, financieros y de tipo legal que puede ocasionar; los otros dos son el fraude y el riesgo de incumplimiento regulatorio.
Es un hecho que la pandemia obligó a repensar la manera de hacer negocios, consecuencia, por supuesto, del trabajo remoto y de la necesidad de modernizar la tecnología que habilita a las organizaciones para que puedan cumplir sus objetivos. Lamentablemente, este camino no siempre ha venido acompañado de un aumento en la madurez de los procesos de control y riesgo.
Tan solo 20 por ciento de las organizaciones en América Latina sienten que tiene un grado de madurez adecuado en aspectos clave de ciberseguridad*. Visto de otra manera, ocho de cada diez organizaciones no están suficientemente preparadas para responder ante un ciberataque. No obstante, casi todos los encuestados manifestaron que se han tomado acciones para abordar este riesgo, incluyendo la implementación de mejoras en la seguridad de las redes, añadiendo factores adicionales de autenticación y proveyendo un mejor entrenamiento a sus empleados.
En el mismo sentido, 69 por ciento considera que el trabajo remoto ha sido un reto mayor en materia de ciberseguridad que los cibercriminales han sabido explotar, ya que el phishing se constituyó como la mayor fuente de incidentes, seguido de las estafas en línea y la utilización de malware. Fraudes derivados de incidentes como un business e-mail compromise (BEC), en el cual se suplanta al ejecutivo de una compañía o a un tercero con el cual existe una relación de negocios, son el resultado de este tipo de ataques.
Por otro lado, las organizaciones en América Latina entienden que los riesgos asociados a la ciberseguridad aumentarán en los próximos 12 meses; sin embargo, parece haber una desconexión entre esta expectativa y la habilidad que tienen las empresas para detectar y contener un incidente cibernético.
Si bien 81 por ciento de los directivos encuestados se encuentran mediana o completamente satisfechos con los tiempos que le toma a su organización detectar los incidentes informáticos, tan solo 10 por ciento de las empresas tienen la capacidad de detectar un incidente informático en menos de 24 horas y al 80 por ciento, contener alguno de ellos le toma un mes o más. No hay que olvidar que un ciberataque puede afectar la capacidad de un negocio para seguir operando o comprometer información sensible en cuestión de minutos.
Esto parece estar en línea con uno de los hallazgos clave del estudio Global Cybersecurity Outlook 2022 del World Economic Forum: se identifica una desvinculación entre la visión de los ejecutivos responsables de la ciberseguridad (CISO, por sus siglas en inglés) y la del CEO en relación con la forma de alcanzar la resiliencia en esta materia.
CLAVES PARA UNA CIBERSEGURIDAD RESILENTE
Hay al menos tres elementos clave que cualquier organización debe seguir desarrollando para alcanzar la resiliencia en materia de ciberseguridad:
1. Continuar con la formación del talento.
Una organización que dentro de sus objetivos incluye la construcción de una cultura de preparación y prevención de incidentes de ciberseguridad es más resistente a un ataque informático que aquella que no lo considera. Toda persona debería conocer cómo identificar y reportar un posible secuestro de datos, un comportamiento inusual en la red o un mensaje de correo sospechoso.
2. Evaluar la capacidad para responder ante un ciberataque.
Se hace necesario realizar una serie de verificaciones que permitan identificar los puntos débiles en los procesos, la gente y la tecnología. El resultado natural de estas evaluaciones es el desarrollo de un plan específico de respuesta para incidentes de ciberseguridad. Aun así, se debe actuar con cautela, ya que los incidentes de ciberseguridad suelen tener ramificaciones financieras, de cumplimiento y legales, por lo que las áreas responsables de estos temas deberían formar parte de dicho plan.
3. Incluir escenarios de ciberamenazas en el plan de continuidad de negocio.
Imagine que, como resultado de un ciberataque, el sitio alterno (al que se deben mover las operaciones en caso de disrupción) sea víctima del mismo ransomware que afectó las operaciones principales. ¿Y si, además, los respaldos de información fueron también cifrados? Tener en cuenta estos elementos puede ser la diferencia entre una recuperación rápida o un costoso camino de regreso a las operaciones.
Existe conciencia con relación a la amenaza que representa el cibercrimen, así como con respecto a la necesidad de tomar acciones concretas para prevenir el impacto que este puede tener. El apoyo de la Alta Dirección debe ser claro y directo, es necesario que los asuntos relacionados con las ciberamenazas formen parte del análisis de riesgo corporativo y se tienen que buscar sinergias con otras áreas de la organización para identificar acciones y controles que ayuden a mitigar la triple amenaza. No podemos olvidar que cada peso invertido en la prevención puede, potencialmente, representar miles de ahorro al momento de que se presente un incidente.
*Prevenir el robo de información por parte de atacantes externos; prevenir el robo de información por parte de empleados; prevenir el robo de información por parte de socios de negocios, proveedores o aliados; prevenir ataques de ransomware y prevenir contra otros ataques sobre sus activos o redes.