Informe de ciberresiliencia 2023
Este artículo 10 es parte 16 de este informe.
October 11, 2023 / 7 minuto(s) de lectura
América Latina: Tres áreas críticas en riesgo
En general, la madurez cibernética de las empresas de América Latina es similar a las de la región de EMEA y el Reino Unido, aunque se evidencian tres problemas significativos: administración de terceros, resiliencia empresarial y seguridad de las aplicaciones.
Conclusiones principales
- El promedio de la madurez cibernética general en empresas de América Latina es igual al de las organizaciones del Reino Unido y EMEA. Sin embargo, estos niveles parecen estar por detrás de sus pares estadounidenses.
- La administración de terceros presenta el nivel de menor rendimiento. Las organizaciones deberían anticipar mejor el impacto comercial de los riesgos cibernéticos que podrían generar estos proveedores.
- Es necesario gestionar la seguridad de las aplicaciones. Los líderes empresariales podrían exigirles a los desarrolladores que realicen capacitaciones sobre seguridad, por ejemplo, actualizaciones periódicas para concientizar sobre las nuevas amenazas emergentes.
Si bien todos los países parecen estar al mismo nivel en lo que concierne a amenazas de ciberataques, el nivel de preparación suele diferir. La región de LATAM ha demostrado, según nuestros datos, progresos inconsistentes al enfrentarse a riesgos cibernéticos1. Sin embargo, según informes de clientes de Cyber Quotient 2022 de Aon (CyQu)2, la madurez cibernética general de las empresas de LATAM está a la par de las de organizaciones de EMEA y el Reino Unido. Aún así, los datos demuestran que las empresas de LATAM se encuentran por detrás de sus pares estadounidenses en algunas áreas críticas.
Al considerar la madurez cibernética en general, las empresas de LATAM presentan problemas en tres áreas críticas: administración de terceros, resiliencia empresarial y seguridad de las aplicaciones. Estos tres dominios se encuentran en un nivel “básico” de madurez.
Datos de CyQu indican que, al realizar la debida diligencia sobre terceros, solo el 15% de las empresas presentan una madurez del riesgo superior a la “básica”, y cuando se trata de gestionar el riesgo de terceros a través de acuerdos legales, solo el 17% presenta puntuaciones de riesgo superiores a 2.5 de 4.0. Los datos muestran que las empresas no tienen acuerdos de nivel de servicio con terceros, carecen de una política formal para determinar las estrategias de seguridad cibernética para terceros, no los integran a auditorías de continuidad del negocio y recuperación ante desastres, y no evalúan el impacto comercial asociado con riesgos que provengan de ellos.
En cuanto a la resiliencia empresarial, apenas un cuarto de las empresas presentaron un perfil de riesgo superior al “básico” en torno a la continuidad del negocio, o tienen un plan de recuperación ante desastres centrado en la recuperación y la cuantificación del impacto financiero. Solo el 35% de las empresas tuvo un perfil de riesgo superior al “básico” para la planificación de respuestas ante incidentes y ejercicios de simulación.
Los clientes también informaron deficiencias en otra área importante de control: la seguridad de las aplicaciones. Menos del 35% de los empresas presentaron un perfil de riesgo superior al “básico”. Además, las empresas no están gestionando de manera adecuada el proceso de permisos sobre aplicaciones de software, la capacitación de desarrolladores de software sobre seguridad, la realización de análisis dinámicos y las pruebas de penetración para aplicaciones.
Sectores en foco
Este año, analizamos tres sectores del mercado mundial en más detalle: finanzas y seguros, sanidad y sector industrial. Según datos de CyQu informados por los propios clientes, las empresas latinoamericanas de los tres sectores tuvieron un desempeño relativamente bueno en comparación con sus pares de EMEA, Reino Unido y los EE.UU. Estas presentaron una posición cibenética general “gestionada” en 2022.
Las empresas latinoamericanas del sector financiero y de seguros informaron un puntaje promedio general de 2.7 o “gestionado”, lo que indica que han implementado tecnologías y prácticas de administración de riesgos en toda la organización. Este nivel de gestión de riesgos refleja el entorno regulatorio en el que operan estas empresas. En este sector, las prácticas recomendadas y los indicadores predictivos respaldan las prácticas de seguridad cibernética en la mayor parte del negocio. Se definen políticas, procesos y procedimientos, que se implementan según lo previsto y se revisan. Se dispone de métodos uniformes para responder eficazmente a los cambios en los riesgos. Para alcanzar el nivel de seguridad de sus pares estadounidenses, se alienta a las empresas financieras y de seguros de América Latina a concentrarse en dominios en los que tuvieron un desempeño inferior, como el control de accesos, la resiliencia empresarial, la seguridad de extremos y sistemas y la administración de terceros.
La mayoría de las empresas del sector financiero y de seguros cuentan con entornos de redes más maduros, lo que significa que, a pesar de los volúmenes notoriamente altos de aplicaciones heredadas, existe una arquitectura sólida, fuertes mecanismos de defensa contra violaciones del perímetro y un cuidado vital en torno a la seguridad de redes. Sin embargo, muchas instituciones financieras aún necesitan contar con un proceso completo de debida diligencia para terceros, que es un paso crítico considerando los recientes eventos públicamente conocidos en el espacio de terceros.
Según informes de clientes en CyQu, la madurez del riesgo cibernético para las empresas de sanidad de LATAM parece ser el mismo que para sus pares de los Estados Unidos. Sin embargo, las tecnologías y prácticas de gestión de riesgos de seguridad cibernética en las organizaciones de este sector aún deben formalizarse más. El riesgo parece gestionarse ad hoc y, a veces, de manera reactiva, mientras que las técnicas y tecnologías deben establecerse más claramente en toda la organización.
Para alcanzar una madurez más avanzada, las empresas del sector de sanidad de la región deberían mejorar la seguridad de las aplicaciones, la resiliencia empresarial, la seguridad física y la administración de terceros. Para la mayoría de las empresas de sanidad, el peor escenario sería un actor de amenaza en su entorno de tecnología operativa. La implementación sólida de una autenticación de múltiples factores en las redes de tecnología de la información puede ser crítica, ya que la vulneración de contraseñas puede comprometer datos sensibles o el acceso de intrusos.
Las evaluaciones sólidas de terceros ayudan a prevenir y detectar riesgos para datos confidenciales, sistemas de la cadena de suministro e infraestructuras críticas de tecnologías operativas, ya que pueden ayudar a reducir la exposición de los sistemas de farmacovigilancia, los sistemas de distribución y los procesos operativos de producción.
Las empresas latinoamericanas del sector industrial presentan índices similares en la mayoría de las áreas en comparación con sus pares estadounidenses, en lo que respecta a la gestión del riesgo cibernético. Sin embargo, al igual que sus contrapartes del sector de la sanidad, las prácticas y tecnologías de administración de riesgos de ciberseguridad en las organizaiones no están formalizadas, tienen un alcance limitado y el riesgo se gestiona ad hoc y, a veces, de manera reactiva.
Los problemas más críticos para las empresas latinoamericanas del sector industrial son la administración de terceros, la seguridad de las aplicaciones y la resiliencia empresarial. Es probable que los fabricantes dependan de diversos terceros para respaldar su cadena de valor. Sin embargo, muchas de esas empresas continúan realizando implementaciones ad hoc y parecen necesitar un enfoque de diligencia debida más consistente en toda la organización.
Los datos de clientes según CyQu demuestran que los niveles de autenticación y encriptación son relativamente bajos para el sector industrial en LATAM. Las organizaciones necesitan ayuda con la supervisión y el registro de extremos, lo que genera una visibilidad deficiente de los sistemas de control industrial y las redes operativas críticas. La implementación de planes de continuidad del negocio y respuesta ante incidentes también debe ser más sólida en todo el sector.
Próximos pasos: Sugerencia de medidas para líderes de empresas en América Latina
Administración de terceros. Realice una debida diligencia con terceros proveedores para un mejor alineamiento con las políticas de su empresa y las prácticas recomendadas del sector, incluidas evaluaciones y reevaluaciones a medida que cambien los acuerdos de servicio. Realice auditorías de recuperación ante desastres y continuidad del negocio con terceros proveedores, especialmente luego de cambios organizacionales. Elabore predicciones sobre el impacto comercial del riesgo cibernético asociado con terceros proveedores mediante un análisis formal que muestre los potenciales efectos financieros. Implemente y defina procesos de definición de umbrales y escalamiento que ayuden a determinar la aplicación de estrategias de seguridad cibernética para terceros proveedores identificados. Utilice múltiples métricas, estrategias de administración uniformes e involucre a la alta dirección.
Resiliencia empresarial. Garantice que los planes de continuidad del negocio y recuperación técnica ante desastres (BCP/DR) se implementen y apliquen al menos una vez al año o con mayor frecuencia, según sea necesario. Involucre a todo el personal clave, cubra todas las operaciones requeridas para reanudar las actividades, y considere elaborar informes posteriores al ejercicio con recomendaciones de mejora. Asegúrese de que los planes de BCP/DR de la organización permitan la recuperación ante una falla de software o tecnología crítica, falla de un proveedor de tecnología o servicio público crítico, pérdida o modificación de información vital y divulgación de información extremadamente sensible. Dentro del plan de BCP/DR, incluya el impacto financiero del costo de oportunidad, el aumento del costo de trabajo y los gastos, la reducción del valor de la producción equivalente o los ingresos, la ineficiencia y la rentabilidad, el reemplazo de activos no asegurados, y el valor del capital y la viabilidad financiera.
Seguridad de las aplicaciones. Garantice que todos los desarrolladores completen un curso de capacitación en seguridad de manera frecuente o al menos una vez al año, e incluya actualizaciones periódicas que se alineen con las amenazas emergentes. Mantenga un inventario de las aplicaciones, elimine todo el software no autorizado de inmediato y asegúrese de que la lista de permisos de sus aplicaciones incluya ejecutables, bibliotecas de código y scripts, por ejemplo, macros y .ps1.
Referencias
1 “Raising the Political Priority of Cybersecurity in Latin America.” Hurel, Louise Marie and Devanny, Joe. Council on Foreign Relations. Blog Post. March 16, 2023.
2 Aon’s Cyber Quotient (CyQu). Patent-pending technology.
Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.
La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.
Madurez Cibernética por Región
La madurez cibernética general de las empresas puede diferir según la región. Obtenga más información sobre las brechas, los desafíos y las oportunidades, incluidas las medidas sugeridas que los líderes pueden tomar para desarrollar la resiliencia cibernética y empresarial.
