La ciber seguridad es considerada componente muy importante dentro del modelo de gobierno y gestión de las empresas de América Latina, sin embargo hay poca confianza para afrontar este problema.
Según una encuesta realizada a 150 firmas en la región por Deloitte y que muestra las tendencias para 2019, la mitad de estas organizaciones se siente muy protegida, de hecho, 7 de cada 10 ha implementado un programa de concientización en ciber seguridad.
Sin embargo, cuatro de cada 10 empresas sufrieron un incidente de ciber seguridad en los dos años precedentes a la consulta y “el 31% dice que cuentan con capacidades limitadas de monitoreo e inteligencia de amenazas”
El estudio de Deloitte: Tendencias en gestión de ciber riesgos y seguridad de la información en América Latina y Caribe 2019, señala que “el 70% de las empresas afirma no tener certeza de la efectividad de su proceso de respuesta ante incidentes”.
Sólo un 3%, de las empresas, realiza simulaciones para probar sus capacidades efectivas de respuesta ante un evento ciber.
La digitalización de los negocios genera oportunidades pero también provoca amenazas, lo que se traduce en aumentos en los presupuestos, dicen.
Según el reporte, solo un 31% realiza inteligencia de amenazas y comparte información con otras organizaciones, lo cual las ubica en un estadio inicial en cuanto al desarrollo de capacidades para enfrentar los riesgos.
Para Andrés Casas, Socio de Risk Advisory de Deloitte, la respuesta rápida y la preparación ante eventuales ataques obliga a las organizaciones a basar sus capacidades no solo en lo que sucede puertas adentro, sino que deben además comprender la realidad de las amenazas a la seguridad en general y en su industria.
Casas, consideró que, si bien para un 70% de las organizaciones consultadas la ciber seguridad es muy importante dentro de su modelo de gobierno y gestión, no hay congruencia entre esta afirmación y la asignación de presupuestos y el nivel de madurez de sus prácticas.
Solo un 5% dijo sentirse extremadamente protegida y un 47% dice que sus políticas de protección de datos son básicas.
Para avanzar en dicha congruencia, señaló, se debe formalizar una estructura de gobierno de ciber seguridad.
Además, asignar un presupuesto a tono con el apetito de riesgo de la empresa. Según el reporte un 63% asigna a temas de seguridad de la información entre 1% y 5% del total del presupuesto de tecnología, solo un 17% asigna un equivalente a 11% o más.
Entre otros hallazgos, un 93% de las encuestadas dijeron que si cuentan con software antivirus; muy pocas mencionaron otras capacidades tecnológicas de detección y protección ante malware.
Un 43% no cuenta con capacidades para protegerse de ataques de denegación de servicio, 6% desconoce del tema, y solo 34% de los que sí dijeron tener capacidades cuenta con herramientas para DDoS probadas periódicamente para asegurar su efectividad.
Solo un 42% analiza información de infraestructura, red y perfilado de sistemas; solo 43% hace un monitoreo básico y un 68% no recopila ni comparte información para un análisis de inteligencia de las amenazas que active procesos internos de preparación y respuesta.
Deloitte cree que las empresas y organizaciones deben considerar como altamente probable sufrir uno o varios incidentes de ciber seguridad al año.