Alcanzar la ciberresiliencia y la resiliencia empresarial.

Informe de ciberresiliencia 2023

Empresas de todos los tamaños encontrarán en este informe un recurso y una herramienta que les ayudará a tomar decisiones informadas sobre el riesgo cibernético en 2023 y en el futuro. La ciberresiliencia es un trayecto que se recorre mejor en colaboración y trabajando en equipo.

Obtener más información

Bienvenida del Director Ejecutivo

Las empresas vienen de cuatro años complicados, marcados por el aumento del número y la gravedad de las ciberamenazas y los ataques de ransomware, seguidos de un mercado de seguros con primas y retenciones que no dejan de aumentar y un importante escrutinio del aseguramiento. Al trabajar con nuestros clientes, hemos observado que los altos directivos se han dado cuenta de que los ciberataques pueden afectar a todas las áreas de su empresa. Por ello, alcanzar la ciberresiliencia es un tema recurrente en los debates de los consejos de administración y por fin se está analizando la amenaza desde un punto de vista holístico del riesgo.

Entre 2020 y 2022, las aseguradoras reaccionaron ante la enorme magnitud del riesgo cibernético y la necesidad de asegurar la rentabilidad.

Aumentaron las exigencias de aseguramiento en el mercado cibernético y de E&O, lo que dio lugar a un mayor escrutinio de los controles de seguridad, directrices más estrictas y una reevaluación del riesgo cibernético en general.1 Según los datos comunicados por los clientes de Aon, las organizaciones reaccionaron ante estas exigencias y empezaron a centrarse más en mejorar la madurez del riesgo en los controles que las aseguradoras habían designado como críticos, o de señal de alarma.

El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico. Los datos recopilados a nivel mundial, de más de 2000 clientes de Aon en todas las regiones, sectores y tramos de ingresos del Cociente Cibernético (CyQu) de Aon, una plataforma global de envío electrónico y evaluación de riesgos, sirven de base para este informe. A estos datos de CyQu se añaden los del formulario complementario de ransomware y el complemento de tecnología operativa de Aon, que visibilizan más los controles de seguridad priorizados por las aseguradoras.2 Estas aportaciones de los clientes se han combinado con información sobre el mercado de las reclamaciones cibernéticas y se han enriquecido con los comentarios de los equipos de asesoramiento cibernético y respuesta a incidentes forenses digitales de Aon, lo que nos ha permitido ofrecer en este informe un análisis exhaustivo de la resiliencia y el riesgo cibernéticos. Los datos de CyQu ayudan a aclarar la idea generalizada de que el mercado de los seguros es un motor crucial de los controles aceptados que fomenta la madurez aceptada en ciberseguridad. Los clientes informaron de que la madurez y la preparación cibernéticas mejoraron entre 2020 y 2022, cambiando globalmente de media de madurez cibernética «básica» a «gestionada». Las empresas, en general, aplicaron medidas para reforzar los ámbitos y controles de seguridad considerados críticos por las aseguradoras, incluida una mayor atención a la gestión de accesos y a las estrategias de autenticación multifactor (MFA). En relación con esto, vimos que las reclamaciones por ransomware disminuyeron un 32 %, y la frecuencia general de reclamaciones de seguros cibernéticos disminuyó un 14 % en 2022.3

En cambio, según los datos, las organizaciones de todos los sectores tuvieron problemas con la gestión del riesgo de terceros, para la que ningún sector registró un perfil «gestionado». Aunque este resultado no sorprende, tiende a validar el asunto creciente dentro del sector cibernético de que el riesgo introducido a través de la cadena de suministro de una empresa es complejo, y la interconexión cada vez más profunda de las pilas tecnológicas aumenta exponencialmente el riesgo de terceros. Como resultado de este mayor riesgo, reflejado recientemente en la filtración de datos de una plataforma de distribución, esperamos que muchas aseguradoras se centren este año en la exposición y el impacto del riesgo sistémico y correlacionado.

Estos datos preliminares señalan la punta del iceberg de este informe, que se compone de varios artículos. Se analizan individualmente los sectores financiero y de seguros, sanitario y manufacturero, y se publicarán opiniones regionales para Norteamérica, EMEA, Reino Unido, América Latina y Asia Pacífico.

El camino hacia la resiliencia cibernética y, en última instancia, empresarial, es un reto importante para cualquier organización. La resiliencia es un componente esencial para ayudar a minimizar el riesgo desde una perspectiva financiera, operativa y de reputación. Exige una visión holística que conecte la gestión proactiva del riesgo, la preparación de la respuesta y los mecanismos de transferencia del riesgo. La transferencia del riesgo es un componente fundamental de la resiliencia y no se limita únicamente a la colocación de seguros tradicionales. Las cautivas y el capital alternativo son opciones viables a considerar para la protección del balance. Tanto si dirige una empresa de la lista Fortune 100 como si dirige una entidad pequeña o mediana que se enfrenta a riesgos similares, pero que se siente desatendida por el mercado, esperamos que este informe sea un recurso y una herramienta que le ayude a tomar decisiones en 2023 y en el futuro. La ciberresiliencia es un viaje que se recorre mejor en colaboración y trabajando en equipo.

Christian E. Hoffman
Aon Global Cyber Leader

 

Referencias

1 Aon | E&O and Cyber Market Review | Midyear 2022. Midyear 2021 Errors & Omissions | Cyber Insurance Snapshot (aon.com) 

2 Consulta el artículo «Metodología» del informe de ciberresiliencia 2023 de Aon

3 Fuente: Seguridad basada en el riesgo, análisis de Aon. Datos a 03/01/2023

Ir a la sección
  1. Key Risk Themes
  2. Sectores
  3. Regions
  4. Metodología de los datos

Gestionar el riesgo cyber en seis temas destacados.

El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.

Cómo el riesgo cibernético afecta a casi todos los aspectos del riesgo empresarial

El aumento de las exigencias de aseguramiento en el mercado de seguros cibernéticos y de E&O ayudó a hacer crecer la madurez del riesgo cibernético en todos los sectores y tramos de ingresos en 2022.

Aprende más
Las ciberamenazas internas son un riesgo empresarial creciente

Los atacantes saben que los humanos son falibles. En 2022, dos de cada cinco empresas informaron de la falta de controles en el centro de operaciones de seguridad (SOC), lo que aumenta el riesgo interno.

Aprende más
Sigue estos pasos para mitigar los riesgos operativos

Las aseguradoras dieron prioridad a los controles relacionados con el riesgo operativo en 2022, y los clientes reaccionaron. Aunque las filtraciones de datos por ransomware disminuyeron durante un breve periodo, se produjo un repunte en el primer trimestre de 2023. Además, los mecanismos de phishing y phishing de objetivo definido suponen un gran riesgo.

Aprende más
Elaborar un plan para afrontar los peligros del riesgo de reputación

Los ciberataques pueden perjudicar el valor para los accionistas, pero no todas las empresas pierden valor a causa de un ataque. La investigación señaló 17 empresas que obtuvieron una repercusión media en el valor, aparte del mercado, de más del 18 % tras el suceso, o una repercusión total en el valor de 445 000 millones de dólares tras un incidente.

Aprende más
Los ciberataques a las cadenas de suministro están causando un impacto generalizado

Las ciberamenazas añaden una capa de complejidad al riesgo de la cadena de suministro. La gestión de riesgos de terceros, fundamental para proteger a la organización, recibió la puntuación de CyQu más baja de los nueve ámbitos puntuados.

Aprende más
Medidas para minimizar el impacto cibernético en el riesgo sistémico

La tarea de gestionar el riesgo sistémico se ha catapultado a lo más alto de la lista de prioridades del sector de los seguros debido a que importantes incidentes cibernéticos han alertado de la importante magnitud este riesgo, que podría tener un impacto generalizado.

Aprende más

Desarrollar ciberresiliencia en todos los sectores.

Los sectores se enfrentan muchas veces a un complejo panorama de riesgos interconectados a escala mundial y los líderes deben tomar decisiones que exijan un análisis y una ejecución rápidos.

Finanzas y seguros

La seguridad de las copias de seguridad sigue siendo un área de vulnerabilidad del sector, y las empresas estadounidenses notificaron deficiencias en casi el 40 % de los controles de TI críticos. Este ámbito debe ser un punto importante en 2023.

Más información

Sanidad

Ningún otro sector debe tomar decisiones de seguridad que puedan repercutir en la seguridad y el bienestar de los pacientes como el sanitario. Los clientes del mercado medio, las grandes empresas y la sanidad mundial informaron de la mejora de sus perfiles de riesgo cibernético, y la mayoría pasó de «básico» a «gestionado».

Más información

Sector industrial

Los fabricantes disfrutaron de una mejora constante en su perfil general de riesgo cibernético entre 2020 y 2022. Pero la resiliencia sigue siendo un trabajo en desarrollo, y los fabricantes estadounidenses carecen sobre todo de controles de TI significativos de resiliencia empresarial.

Más información

Cyber Maturity by Region

Companies’ overall cyber maturity can differ per region. Learn more about the gaps, challenges and opportunities, including suggested steps leaders can take to build cyber and business resilience.

Europa, Oriente Medio y África: El avance demuestra un cambio de mentalidad

Las compañías EMEA se centraron en mejorar la seguridad de los datos y salvaguardar los datos de la empresa en 2022, impulsadas en parte por el conflicto entre Ucrania y Rusia.

Aprende más
Cambios en el panorama de las amenazas

Ser consciente de un riesgo no significa estar preparado. La madurez general del riesgo cibernético para las empresas del Reino Unido disminuyó marginalmente entre 2020 y 2022, con algunos dominios de seguridad a los que les fue excepcionalmente bien, mientras que otros retrocedieron.

Aprende más
Latinoamérica: Tres áreas de control de riesgo clave

La madurez cibernética general de las empresas latinoamericanas se aproxima a la de las de EMEA y el Reino Unido, aunque han aparecido tres lagunas significativas: la gestión de terceros, la resiliencia empresarial y la seguridad de las aplicaciones.

Aprende más
Norteamérica: Mejora la resiliencia cibernética, pero con margen de crecimiento

Las compañías refuerzan su madurez cibernética general en respuesta tanto a las amenazas cibernéticas como a los requisitos aseguradores. Este artículo analiza la evolución de la resistencia cibernética en la región, examina las deficiencias más comunes en los sectores manufacturero, financiero y de seguros y sanitario, y ofrece recomendaciones para guiar a los líderes hacia el futuro.

Aprende más
Dos personas colaboran con un único ordenador portátil junto a la barandilla de la sexta planta.

Metodología de los datos

Detrás de los datos: metodología de la investigación

El informe de ciberresiliencia 2024 se basa en datos propios de clientes obtenidos de la evaluación del Cociente Cibernético (CyQu) de Aon y del formulario complementario de ransomware y el complemento de tecnología operativa de Aon.

Obtener más información