Informe de ciberresiliencia 2023

Este artículo 16 es parte 16 de este informe.

October 11, 2023 / 5 minuto(s) de lectura

Detrás de los datos: metodología de la investigación

Este informe se basa en las puntuaciones de la evaluación del Cociente Cibernético (CyQu) de Aon obtenidas de 2946 organizaciones únicas de clientes de Aon en Australia, Canadá, América Latina, Estados Unidos, EMEA y Reino Unido y complementadas con datos de evaluaciones adicionales obtenidos de 1933 organizaciones únicas de clientes de Aon en Estados Unidos y Reino Unido.

Conclusiones principales

La evaluación voluntaria de CyQu de Aon puntúa el riesgo de 35 controles críticos en nueve ámbitos de seguridad.
El formulario complementario de ransomware identifica 33 posibles brechas en los controles de seguridad críticos que pueden limitar la cobertura del seguro cibernético o activar una señal de alarma.
El complemento de tecnología operativa ofrece una mayor visibilidad de 22 controles de seguridad de tecnología operativa a los que las aseguradoras dan prioridad.

El informe de ciberresiliencia 2024 se basa en datos propios de clientes obtenidos de la evaluación del Cociente Cibernético (CyQu) de Aon y del formulario complementario de ransomware y el complemento de tecnología operativa de Aon.

CyQu es una plataforma global de envío electrónico y evaluación de riesgos que ayuda a las organizaciones a gestionar mejor el riesgo cibernético al visibilizar las vulnerabilidades cibernéticas y los factores de asegurabilidad. CyQu cuenta con una metodología de análisis con patente en tramitación y se basa tanto en las normas ISO como en el marco del Instituto Nacional de Normas y Tecnología. Esta estrategia se ajusta periódicamente para tener en cuenta los comentarios de la comunidad de aseguramientos de seguros cibernéticos. CyQu y sus complementos están aceptados por los principales mercados de EE. UU. y ayudan a alinear a más de 65 aseguradoras cibernéticas en torno a un único proceso de envío de seguros de clientes.

La evaluación voluntaria de CyQu puntúa el riesgo de 35 controles críticos en nueve ámbitos de seguridad para ofrecer más información de los riesgos más importantes de una organización y de la eficacia de los controles.

Este informe se basa en las puntuaciones de la evaluación de CyQu obtenidas de 2946 organizaciones únicas de clientes de Aon en Australia, Canadá, América Latina, Estados Unidos, EMEA y Reino Unido. Se representan todos los sectores y tramos de ingresos. Las respuestas voluntarias de los clientes se puntúan en una escala de 1 a 4 (siendo 4 la mejor). La información sobre tendencias de este informe se ha obtenido comparando los cambios entre los datos de CyQu de 2020 y 2022.

Distribución sectorial global de CyQu

* La categoría «Otros sectores» representa las respuestas de clientes de los siguientes sectores: servicios de alojamiento y alimentación, agricultura, artes, entretenimiento y ocio, gestión de empresas y sociedades, administración pública, servicios públicos, gestión de residuos y servicios de saneamiento, administración y asistencia y comercio al por mayor.

** La categoría «Otros servicios» la selecciona el cliente.

Distribución global por segmentos de clientes de CyQu

Segmentos de ingresos de los clientes:
Global: más de 5000 millones de dólares
Gran empresa: de 2000 a 5000 millones de dólares
Mercado medio: de 100 millones a 2000 millones de dólares
Pyme: menos de 100 millones de dólares

Distribución regional

América: Estados Unidos y Canadá

Reino Unido y EMEA: Alemania, Austria, Bélgica, Dinamarca, España, Finlandia, Francia, Irlanda, Italia, Luxemburgo, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, Suecia, Suiza y Turquía

América Latina: Argentina, Brasil, Chile, Colombia, Ecuador, México, Perú y Puerto Rico

Asia Pacífico: Australia

Estos datos se complementan con información propia del formulario complementario de ransomware y el complemento de tecnología operativa de Aon. El formulario complementario de ransomware de Aon identifica 33 posibles brechas en los controles de seguridad críticos que pueden limitar la cobertura del seguro cibernético o activar una señal de alarma. El complemento de tecnología operativa ofrece una mayor visibilidad de 22 controles de seguridad de tecnología operativa a los que las aseguradoras dan prioridad. Este informe se basa en evaluaciones complementarias obtenidas de 1933 organizaciones únicas de clientes de Aon en EE. UU. y Reino Unido de todos los sectores y tramos de ingresos. Guiado por los controles clave de aseguramiento de Aon y su análisis de señales de alarma desarrollado con las aportaciones de corredores y aseguradores, este informe demuestra cómo los clientes pueden utilizar los datos para priorizar sus inversiones en seguridad. La información sobre tendencias de este informe se ha obtenido comparando los cambios entre 2021 y 2022 en el formulario complementario de ransomware y de 2022 en el complemento de tecnología operativa.

Distribución sectorial del formulario complementario de ransomware en EE. UU.

** La categoría «Otros servicios» la selecciona el cliente.

Distribución por segmentos de clientes del formulario complementario de ransomware en EE. UU.

Distribución sectorial del complemento de tecnología operativa en EE. UU.

Distribución por segmentos de clientes del formulario complementario de ransomware en EMEA y el Reino Unido

Distribución sectorial del formulario complementario de ransomware en EMEA y el Reino Unido

** La categoría «Otros servicios» la selecciona el cliente.

Equipo de metodología de datos

Arshi Ahmed
Data & analytics leader, Cyber Solutions

Nancy Eaves
SVP, product leader, Cyber Solutions

Annie Fishbain
VP, product management, Cyber Solutions.

Glosario

Temas de riesgo y definición de controles

Riesgo cibernético

El riesgo cibernético es el riesgo de pérdidas financieras, interrupción de la actividad empresarial o daños a una organización por algún fallo relacionado con sus sistemas de tecnología de la información u operativa. Pero el riesgo cibernético va mucho más allá de la tecnología. El ciberespacio es, entre otros, un riesgo holístico y empresarial que supone una amenaza financiera, operativa, personal, normativa e incluso catastrófica para todas las organizaciones, independientemente de su tamaño o sector. Por ello, comprender los factores que impulsan el negocio de una organización y las decisiones diarias relacionadas con ellos suele ser el eslabón decisivo para conseguir una ciberresiliencia holística y sostenible.

La evaluación del Cociente Cibernético (CyQu) de Aon proporciona información sobre la madurez cibernética de una organización en 35 controles críticos en nueve ámbitos de seguridad.

Ámbito	Definición
Seguridad de los datos	Gestiona las medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información.
Control de acceso	Concede a los usuarios autorizados el derecho a utilizar un servicio a la vez que impide el acceso a los usuarios no autorizados.
Seguridad de terminales y sistemas	Prestación y administración de servicios de infraestructura, supervisión de sistemas, protección de terminales, gestión de la configuración, gestión del almacenamiento y operaciones de infraestructura.
Seguridad de redes	Presta servicios de infraestructura que incluyen defensa empresarial para redes, ordenadores, presencia física, nube, gestión del almacenamiento y operaciones.
Seguridad física	Protege las instalaciones, los equipos, los recursos y al personal de accesos no autorizados, daños o perjuicios.
Seguridad de las aplicaciones	Protege las aplicaciones de las amenazas exigiendo medidas o comprobaciones durante cada etapa del ciclo de vida de desarrollo de la aplicación.
Terceros	Supervisa las relaciones con terceros para garantizar que los servicios prestados cumplen las políticas de seguridad definidas.
Resiliencia empresarial	Planes para la continuación rápida y eficaz de los servicios críticos de la empresa en caso de interrupción.
Trabajo a distancia	Permite a los usuarios acceder de forma segura a los sistemas y datos corporativos para desempeñar sus funciones y responsabilidades cuando se encuentran fuera de los entornos de trabajo de la empresa.

El formulario complementario de ransomware de Aon visibiliza los controles de tecnología de la información (TI) de una organización para evaluar la vulnerabilidad de un ataque de ransomware.

Las señales de alarma de ransomware se centran en las brechas de control basadas en preocupaciones técnicas clave de aseguramiento.

A medida que los riesgos siguen evolucionando, también lo hacen los controles clave de aseguramiento y las ponderaciones del riesgo de Aon. La siguiente lista muestra una comparación del control interanual, pero se trata de un subconjunto de las principales categorías de aseguramiento y señales de alarma que Aon ayuda a los clientes a priorizar en la actualidad.

Tecnología de la información (TI)	Definición
Seguridad de las copias de seguridad	Capacidades de las copias de seguridad de los clientes por su solidez, frecuencia, ubicación de almacenamiento y recuperación.
Resiliencia empresarial	Planes para la continuación rápida y eficaz de los servicios críticos de la empresa en caso de interrupción.
Seguridad de redes y datos	Medidas adoptadas para proteger la red y la integridad y privacidad de los datos frente a ataques e infiltraciones.
Autenticación multifactor (MFA)	Controles en torno a la autenticación para el acceso remoto, las redes críticas y las cuentas de acceso con privilegios antes de acceder a los datos de la organización.
Control de acceso	Concede a los usuarios autorizados el derecho a utilizar un servicio a la vez que impide el acceso a los usuarios no autorizados.
Seguridad de terminales	Prestación y administración de servicios de infraestructura, supervisión de sistemas, detección de terminales, gestión de la configuración, gestión del almacenamiento y operaciones de infraestructura.
Seguridad del correo electrónico	Seguridad del correo electrónico empresarial que protege de los ataques de phishing y evita la filtración de datos.
Gestión de parches	Gestión de vulnerabilidades mediante la mejora, corrección y actualización de los sistemas de aplicación.
Gestión de software	Optimización de licencias de software, activos de hardware y plataformas en la nube.
Tecnología operativa (TO)	Hardware y software que detecta o provoca un cambio en los procesos físicos o eventos a través de la supervisión directa y/o el control de dispositivos físicos (por ejemplo, equipos industriales) en la empresa.

Fuente de la investigación: esta definición procede de la publicación de Gartner «Market Guide for Insider Risk Management Solutions».

El riesgo interno identifica amenazas a cuentas de confianza dentro de la organización, maliciosas o no intencionadas. Este riesgo también se ve intensificado por los ataques de estados nacionales y el espionaje empresarial. La gestión del riesgo interno se centra en controles en torno a la detección y respuesta en los terminales, la supervisión del SOC, la seguridad de los datos y la formación para la concienciación de los usuarios.
El riesgo de la cadena de suministro evalúa el riesgo y la vulnerabilidad continuos de una organización en los ecosistemas físicos y digitales de los socios y la cadena de suministro. Las organizaciones evalúan los controles en torno a la diligencia de terceros, la armonización y revisión de los contratos con terceros (ANS) y la gestión del inventario en sistemas de aplicaciones de terceros.

Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.

La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.

Equipo de metodología de datos

Arshi Ahmed
Data & analytics leader, Cyber Solutions

Nancy Eaves
SVP, product leader, Cyber Solutions

Annie Fishbain
VP, product management, Cyber Solutions.

Gestionar el riesgo cyber en seis temas destacados.

El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.

Medidas para minimizar el impacto cibernético en el riesgo sistémico

La tarea de gestionar el riesgo sistémico se ha catapultado a lo más alto de la lista de prioridades del sector de los seguros debido a que importantes incidentes cibernéticos han alertado de la importante magnitud este riesgo, que podría tener un impacto generalizado.

Más información

Los ciberataques a las cadenas de suministro están causando un impacto generalizado

Las ciberamenazas añaden una capa de complejidad al riesgo de la cadena de suministro. La gestión de riesgos de terceros, fundamental para proteger a la organización, recibió la puntuación de CyQu más baja de los nueve ámbitos puntuados.

Más información

Elaborar un plan para afrontar los peligros del riesgo de reputación

Los ciberataques pueden perjudicar el valor para los accionistas, pero no todas las empresas pierden valor a causa de un ataque. La investigación señaló 17 empresas que obtuvieron una repercusión media en el valor, aparte del mercado, de más del 18 % tras el suceso, o una repercusión total en el valor de 445 000 millones de dólares tras un incidente.

Más información

Sigue estos pasos para mitigar los riesgos operativos

Las aseguradoras dieron prioridad a los controles relacionados con el riesgo operativo en 2022, y los clientes reaccionaron. Aunque las filtraciones de datos por ransomware disminuyeron durante un breve periodo, se produjo un repunte en el primer trimestre de 2023. Además, los mecanismos de phishing y phishing de objetivo definido suponen un gran riesgo.

Más información

Las ciberamenazas internas son un riesgo empresarial creciente

Los atacantes saben que los humanos son falibles. En 2022, dos de cada cinco empresas informaron de la falta de controles en el centro de operaciones de seguridad (SOC), lo que aumenta el riesgo interno.

Más información

Cómo el riesgo cibernético afecta a casi todos los aspectos del riesgo empresarial

El aumento de las exigencias de aseguramiento en el mercado de seguros cibernéticos y de E&O ayudó a hacer crecer la madurez del riesgo cibernético en todos los sectores y tramos de ingresos en 2022.

Más información

Detrás de los datos: metodología de la investigación

Equipo de metodología de datos

Glosario

Temas de riesgo y definición de controles

Equipo de metodología de datos

Gestionar el riesgo cyber en seis temas destacados.

Medidas para minimizar el impacto cibernético en el riesgo sistémico

Los ciberataques a las cadenas de suministro están causando un impacto generalizado

Elaborar un plan para afrontar los peligros del riesgo de reputación

Sigue estos pasos para mitigar los riesgos operativos

Las ciberamenazas internas son un riesgo empresarial creciente

Cómo el riesgo cibernético afecta a casi todos los aspectos del riesgo empresarial

Contacta con nuestro equipo