Informe de ciberresiliencia 2023
Este artículo 1 es parte 16 de este informe.
October 11, 2023 / 4 minuto(s) de lectura
Cómo el riesgo cibernético afecta a casi todos los aspectos del riesgo empresarial
Probablemente, el aumento de las exigencias de aseguramiento en el mercado de seguros cibernéticos y de E&O en 2021 y la primera mitad de 2022 influyó en el avance de los clientes en la madurez cibernética.
Conclusiones principales
- De media, las organizaciones de todos los sectores y tramos de ingresos mejoraron su madurez cibernética de «básica» a «gestionada».
- Estos cinco ámbitos fueron los que más mejoraron: seguridad de los datos, seguridad de las aplicaciones, trabajo a distancia, control de acceso y seguridad de los terminales y sistemas.
- Los equipos deben evaluar constantemente el grado de preparación de la organización ante la evolución de las amenazas y aportar pruebas cuantificables de la eficacia de los controles actuales.
Según la encuesta global de gestión de riesgos 2021 de Aon, se prevé que la amenaza cibernética siga siendo el riesgo principal a escala mundial en 2024, por encima de la COVID-19 y de la interrupción de las cadenas de suministro.1 La relevancia del trabajo híbrido a largo plazo, los ataques relacionados con la cadena de suministro, la inestabilidad geopolítica y la conectividad digital siguieron aumentando de forma sustancial la atención en torno al riesgo cibernético en las empresas de todo el mundo.2 Además, el endurecimiento de los requisitos por parte de las aseguradoras de 2020 a 2022 hizo más difícil conseguir una póliza cibernética y aumentó la necesidad de que las empresas demuestren controles de seguridad adecuados y su eficacia. En este contexto de mayor amenaza y aseguramiento más estricto, las organizaciones ya no pueden esperar disponer fácilmente de capital de seguro cibernético para protegerse de la volatilidad financiera derivada del riesgo cibernético.
El riesgo cibernético se puede definir como el riesgo de pérdidas financieras, interrupción de la actividad empresarial o daños a una organización por algún fallo relacionado con sus sistemas de tecnología de la información u operativa. Pero el riesgo cibernético va mucho más allá de la tecnología. El ciberespacio es, entre otros, un riesgo holístico y empresarial que supone una amenaza financiera, operativa, personal, normativa e incluso catastrófica para todas las organizaciones, independientemente de su tamaño o sector. Por ello, comprender los factores que impulsan el negocio de una organización y las decisiones diarias relacionadas con ellos suele ser el eslabón decisivo para conseguir una ciberresiliencia holística y sostenible.
Resultados de CyQu: informe de clientes de Aon
Los datos de los clientes de CyQu de 2022 nos indican que, de media, las organizaciones de todos los sectores y tramos de ingresos mejoraron su madurez cibernética de «básica» a «gestionada». La media mundial de las puntuaciones del riesgo de CyQu, que aumentó en 2022 con respecto a 2020, refleja este crecimiento. El aumento de las exigencias de aseguramiento en el mercado de seguros cibernéticos y de E&O en 2021 y la primera mitad de 2022 incrementó el escrutinio de los controles de seguridad, originó directrices más rígidas, la reevaluación del riesgo y la subsiguiente reducción de la capacidad del mercado, lo que probablemente influyó en este avance de la madurez cibernética.
Los clientes de todos los sectores y tramos de ingresos informaron de que el presupuesto para la seguridad cibernética aumentó entre 2020 y 2022, con un promedio del 10 % del presupuesto de tecnologías de la información que se destina a la seguridad.
Puntuaciones de los ámbitos de CyQu
| Ámbito de las puntuaciones de CyQu | 2020 | 2022 | Cambio |
|---|---|---|---|
| Seguridad de terminales y sistemas | 2.5 | 2.9 | +0.4 |
| Trabajo a distancia | 2.5 | 2.8 | +0.4 |
| Seguridad de las aplicaciones | 1.9 | 2.3 | +0.4 |
| Seguridad de redes | 2.7 | 3.0 | +0.3 |
| Control de acceso | 2.5 | 2.8 | +0.3 |
| Seguridad de los datos | 2.3 | 2.6 | +0.3 |
| Resiliencia empresarial | 2.2 | 2.5 | +0.3 |
| Seguridad física | 2.6 | 2.8 | +0.2 |
| Terceros | 2.0 | 2.2 | +0.2 |
Clasificación de la madurez del riesgo de CyQu
Inicial: 1.0 - 1.9
Básica: 2.0 - 2.5
Gestionada: 2.6 - 3.4
Avanzada: 3.5 - 4.0
Desde el punto de vista de los controles, cinco ámbitos registraron las mejoras de puntuación más significativas, de lo que se deduce que aumentó su presupuesto: seguridad de los datos, seguridad de las aplicaciones, trabajo a distancia, control de acceso y seguridad de los terminales y sistemas.
En todos los tramos de ingresos, los clientes del mercado medio registraron las mejoras más significativas en la madurez cibernética general. En cambio, las organizaciones del segmento global y empresarial notificaron mejoras, pero se mantuvieron en una madurez «gestionada». La mejora en la planificación de la respuesta a incidentes (IR), la protección de datos, el registro y la supervisión de terminales y la vulnerabilidad y supervisión del trabajo a distancia impulsaron la mejora del perfil de seguridad del mercado medio. Estos controles pasaron de «básicos» a «gestionados» en 2022. Los datos de los clientes reflejan que los controles de acceso, los datos y la seguridad, así como la resiliencia empresarial, fueron las áreas en las que se centró la mejora en la mayoría de los tramos de ingresos. Al mismo tiempo, las puntuaciones de los riesgos de diligencia en los contratos con terceros y de gestión de inventarios se mantuvieron estables.
Cambios en la puntuación de los segmentos de clientes de CyQu
| Ingresos anuales (grupo) | 2020 | 2022 | Cambio |
|---|---|---|---|
| Global | 2.8 | 2.9 | +0.1 |
| Gran empresa | 2.6 | 2.9 | +0.3 |
| Mercado medio | 2.4 | 2.7 | +0.3 |
| Pyme | 2.2 | 2.5 | +0.3 |
Clasificación de la madurez del riesgo de CyQu
Inicial: 1.0 - 1.9
Básica: 2.0 - 2.5
Gestionada: 2.6 - 3.4
Avanzada: 3.5 - 4.0
Desde el punto de vista sectorial, todos los sectores han registrado mejoras en la puntuación global del riesgo de CyQu. Los sectores de sanidad y asistencia social, comercio minorista e inmobiliario notificaron mejoras importantes al pasar de perfiles de riesgo de seguridad «básicos» a «gestionados».
Cambios en la puntuación sectorial de CyQu
| Sector | 2020 | 2022 | Cambio |
|---|---|---|---|
| Sector industrial | 2.2 | 2.5 | +0.3 |
| Otros sectores* | 2.3 | 2.5 | +0.2 |
| Otros servicios** | 2.3 | 2.7 | +0.4 |
| Información, software y tecnología | 2.6 | 2.9 | +0.3 |
| Finanzas y seguros | 2.7 | 2.9 | +0.2 |
| Sanidad y asistencia social | 2.4 | 2.7 | +0.3 |
| Servicios profesionales, científicos y técnicos | 2.6 | 2.9 | +0.3 |
| Comercio minorista | 2.3 | 2.6 | +0.3 |
| Transporte y almacenamiento | 2.2 | 2.5 | +0.3 |
| Construcción | 2.1 | 2.4 | +0.3 |
| Servicios educativos | 2.4 | 2.5 | +0.1 |
| Mercado inmobiliario, de alquileres y arrendamientos | 2.3 | 2.7 | +0.4 |
Clasificación de la madurez del riesgo de CyQu
Inicial: 1.0 - 1.9
Básica: 2.0 - 2.5
Gestionada: 2.6 - 3.4
Avanzada: 3.5 - 4.0
* La categoría «Otros sectores» representa las respuestas de clientes de los siguientes sectores: servicios de alojamiento y alimentación, agricultura, artes, entretenimiento y ocio, gestión de empresas y sociedades, administración pública, servicios públicos, gestión de residuos y servicios de saneamiento, administración y asistencia y comercio al por mayor.
** La categoría «Otros servicios» la selecciona el cliente.
El aumento más significativo en las puntuaciones del riesgo de CyQu del sector sanitario se registró en la autenticación multifactor (MFA) (de 1,9 en 2020 a 2,6 en 2022) y la protección de datos (de 2,4 en 2020 a 3,0). Sin embargo, este sector siguió registrando cambios mínimos en los perfiles de riesgo de terceros, gestión de software y seguridad de las aplicaciones. Dentro del sector minorista, el 74 % de las empresas notificaron puntuaciones superiores a 2,5 en formación para la concienciación de los usuarios, y más de la mitad registraron puntuaciones similares en capacidades de registro y supervisión, lo que contribuye a mejorar el perfil de riesgo general del sector.
En el sector inmobiliario, los cambios en las puntuaciones en desarrollo de seguridad de aplicaciones (de 1,8 en 2021 a 2,5 en 2022), gestión de software (de 1,9 en 2021 a 2,3 en 2022), gestión de riesgos (de 1,9 en 2021 a 2,4 en 2022) y formación para la concienciación de los usuarios (de 2,5 en 2021 a 3,2 en 2022) impulsaron la mejora general del perfil.
En resumen:
Navegar por este panorama de riesgos, a la vez que se intenta comprender la correlación entre el riesgo cibernético y el riesgo empresarial, siempre ha sido un reto. La presión no solo viene de bloquear y solucionar continuamente, parchear los sistemas vulnerables y comprender los puntos de conexión de las pilas tecnológicas altamente integradas, sino también de estar al corriente del posible impacto de las amenazas emergentes y los cambios normativos. El resultado es que los equipos de seguridad y tecnología deben evaluar constantemente el grado de preparación de la organización ante la evolución de las amenazas y aportar pruebas cuantificables de la eficacia de los controles actuales a las aseguradoras y al mercado. Es sensato adaptarse a las normas de control de las mejores prácticas, como las especificadas por el Instituto Nacional de Normas y Tecnología (NIST) o el Centro para la Seguridad en Internet (CIS). Los equipos de seguridad deben evaluar periódicamente los controles para determinar la eficacia de la madurez cibernética preventiva y de respuesta.
Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.
La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.
Gestionar el riesgo cyber en seis temas destacados.
El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.
