Lo sentimos, pero su explorador no es compatible con Marsh.com

Para una mejor experiencia, por favor actualice su navegador:

X
Skyline lights landscape building

Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019

Nuestra Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019, realizada en asociación con Microsoft investiga el estado actual de la percepción que las organizaciones de nuestra región tienen respecto al riesgo cibernético y su gestión, especialmente en el contexto de un entorno empresarial en rápida evolución.

Introducción

La tecnología está transformando drásticamente el entorno empresarial global, con avances continuos en áreas que van desde la Inteligencia Artificial e Internet de las Cosas (IoT) a una mayor disponibilidad de datos y blockchain.

La velocidad a la que las tecnologías digitales evolucionan y rompen con los modelos comerciales tradicionales sigue aumentando. Al mismo tiempo, los riesgos cibernéticos parecen evolucionar aún más rápido.

El riesgo cibernético ha pasado del robo de datos y la preocupación por la privacidad a esquemas más sofisticados que pueden afectar a negocios, industrias, cadenas de suministro y naciones, costándole a la economía miles de millones de dólares y afectando empresas en todos los sectores.

La Encuesta de Percepción del Riesgo Cibernético en Latinoamérica 2019 (parte de una encuesta global) revela muchos signos alentadores de mejora en la forma en que las organizaciones ven y gestionan el riesgo cibernético.

El riesgo cibernético es ahora, clara y firmemente, una prioridad en las agendas de riesgo corporativo, y vemos un cambio positivo hacia la adopción de una gestión más rigurosa e integral en diferentes áreas.

Destacados de la encuesta

A continuación hacemos un resumen con lo más destacado del reporte:

Las organizaciones asumen al riesgo cibernético como una prioridad, y la confianza en la capacidad de resiliencia aumentó con respecto a 2017

El riesgo cibernético se afianzó como una prioridad empresarial en Latinoamérica, y la confianza la confianza de las organizaciones en su capacidad de resiliencia cibernética aumentó

  • El 73% de los encuestados clasificó el riesgo cibernético como una de las cinco principales preocupaciones para su organización, frente al 47% en 2017.
  • La confianza de las empresas aumentó en cada una de las tres áreas críticas de resiliencia cibernética:
    • Del 16% al 22% para entender, evaluar y cuantificar las amenazas cibernéticas..
    • Del 12% al 20% para prevenir y mitigar ataques cibernéticos.
    • Del 7% al 18 para gestionar y recuperarse de ataques cibernéticos.
Las nuevas tecnologías aumentan la exposición cibernética

La innovación tecnológica es vital para la mayoría de las empresas. Sin embargo, esto añade aún más complejidad al entorno tecnológico de una organización, incluido su riesgo cibernético.

  • 79% de las empresas encuestadas dijeron que han adoptado o están considerando usar una nueva tecnología.
  • El 49% mencionó que el riesgo cibernético casi nunca es una barrera para la adopción de nuevas tecnologías.
  • El 28% considera que los beneficios de las nuevas tecnologías superan los potenciales riesgos para el negocio.
  • El 75% evalúa los riesgos cibernéticos antes de la adopción de nuevas tecnologías, mientras que el 25% asegura que evalúa los riesgos después de sufrir un ataque cibernético.
El aumento de la interdependencia digital de la cadena de suministro trae nuevos riesgos cibernéticos

La creciente interdependencia y digitalización de las cadenas de suministro conlleva un mayor riesgo cibernético para todas las partes. Sin embargo, muchas empresas no se perciben a sí mismas como amenazas para la cadena de suministro de la que son parte, y, por el contrario, piensan que están muy expuestas al riesgo cibernético de parte de sus proveedores. 

  • Hubo una discrepancia en la visión de muchas organizaciones sobre el riesgo cibernético al que están expuestos de parte de terceros, en comparación con el nivel de riesgo que su organización representa para ellos.
    • 34% dijo que el riesgo cibernético que representan sus socios y proveedores de la cadena de suministro para su organización es alto o muy alto.
    • Pero solo el 18 dijo que el riesgo cibernético que ellos mismos representan para su cadena de suministro es alto o muy alto.
  • Los encuestados tienden a establecer estándares más rigurosos en sus organizaciones que los que requieren a sus proveedores 
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers:  6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants:  6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know
 
El rol del gobierno en la gestión del riesgo cibernético genera opiniones divididas

Las organizaciones generalmente consideran que la regulación gubernamental y los estándares de la industria tienen una eficacia limitada para ayudar a gestionar el riesgo cibernético, con la notable excepción de los ataques generados por los propios gobiernos.

  • 53% consideran que las políticas y regulaciones nacionales o internacionales sobre ciberseguridad son esenciales para que las empresas adopten mejores prácticas.
  • 43% de las empresas consideran que los estándares de la industria, como ISO o NIST, contribuyen a la mejora de la ciberseguridad dentro de la empresa.
  • Un área clave de diferencia se relaciona con los ataques cibernéticos de gobiernos, locales y extranjeros:
    • 61% de los encuestados dijo estar muy preocupado por los ciberataques de los estados nacionales..
    • 55% dijo que el gobierno necesita hacer más para proteger a las organizaciones contra los ciberataques de los estados nacionales..
Las inversiones cibernéticas se centran en la prevención, no en la resiliencia

Muchas organizaciones están enfocando sus inversiones de ciberseguridad en herramientas tecnológicas de protección, descuidando otras áreas de gestión de riesgos que crean resiliencia cibernética, como la evaluación y transferencia de riesgos, así como la planificación de la respuesta. 

  • 88% de organizaciones dijeron que el área de TI/seguridad de la información es la principal responsable de la gestión del riesgo cibernético. Importante destacar el crecimiento de la figura del gerente de riesgos como pieza clave de la gestión del riesgo cibernético, que pasó del 17% en 2017 al 46% en 2019.
  • 54% de la inversión en ciberseguridad de las empresas latinoamericanas para los próximos años se centra en tecnología y mitigación.
  • 62% dijo que un ataque o incidente cibernético en su empresa sería el principal facilitador para incrementar la inversión en riesgos cibernéticos.
  • 33% de las organizaciones dijeron usar métodos cuantitativos para evaluar su exposición al riesgo, un aumento considerable con respecto al 8% de 2017.
  • 81% ha fortalecido la seguridad de los sistemas y computadoras corporativas en los últimos dos años, pero solo el 28% ha llevado a cabo capacitaciones de gestión del riesgo cibernético, o simulaciones de escenarios de pérdidas.
A cyber incident/attack on our organization 64%, News of cyber incident/attack on another organization 46%, Adoption of new or emerging technologies 43%, New or changing Regulations (such as the EU GDPR) 38%, Change in leadership in our organization 19%, Required by a key customer 12%, Experiencing a merger or acquisition 7%, Legend % selecting as a driver for any area of increased cyber risk investment. Base: All answers $ stating they plan to invest more, excluding don't know responses: n=615 (2019)
Seguro cibernético

Las coberturas de seguros cibernéticos se están ampliando para hacer frente a las nuevas amenazas, y también la percepción empresarial sobre dichas coberturas.

  • 29% de las organizaciones dijeron que tienen seguro cibernético, frente al 47% de la media global.
  • El porcentaje de empresas con seguro cibernético varía en función del tamaño de la organización: 40% con ingresos +US$1,000 M; 37% con ingresos entre US$1,000 y 100 M; y 22% con ingresos -US$100 M.
  • 52% consideran que el seguro cibernético cubre todas o gran parte de las necesidades de su empresa. Sin embargo, el 39% declaran no saber si el seguro es una herramienta eficaz de protección.
  • El 75% de las personas con seguro cibernético confían en que sus pólizas cubrirán el costo de un evento cibernético.
Confidence lowest among: C-Suite/Board and IT / Information Security at 7% (Not all Confident) Confidence highest among: Finance, Risk Management, and Legal /Compliance at 32% (Highly Confident) Fairly Confident at 57% Don’t know at 5% Base: All with cyber insurance n=526 (2019)

 

Aportes clave


A nivel práctico, la encuesta de este año apunta a una serie de mejores prácticas que emplean las empresas más resilientes, y que todas las empresas deberían considerar adoptar:

  • Crear una fuerte cultura organizacional de seguridad cibernética, con estándares claros y compartidos para gobierno corporativo, rendición de cuentas, recursos, y acciones.. 
  • Cuantificar el riesgo cibernético para tener decisiones mejor informadas de asignación de capital, permitir la medición del rendimiento y enmarcar el riesgo cibernético en los mismos términos económicos que otros riesgos empresariales.
  • Administrar el riesgo de la cadena de suministro como un problema colectivo, reconociendo la necesidad de confianza y estándares de seguridad compartidos en toda la red, incluido el impacto cibernético de la organización en sus socios. 
  • Buscar y apoyar alianzas público-privadas en torno a problemas críticos del riesgo cibernético que puedan brindar protecciones más sólidas y estándares básicos de mejores prácticas. 

Conclusiones

Con el aumento de la confianza organizacional en la capacidad de gestionar el riesgo cibernético, más empresas reconocen claramente la naturaleza crítica de la amenaza y comienzan a buscar y adoptar las mejores prácticas.

La gestión efectiva del riesgo cibernético requiere un enfoque integral que emplee la evaluación, medición, mitigación, transferencia y planificación del riesgo, y el programa óptimo dependerá del perfil de riesgo y la tolerancia únicos de cada empresa.

Aun así, estas recomendaciones abordan muchos de los aspectos comunes y más urgentes del riesgo cibernético con el que las organizaciones se enfrentan hoy en día, y deben verse como señales a lo largo del camino hacia la construcción de una verdadera resiliencia cibernética.