Según el informe 2023 Cyber Resilience Report, elaborado por AON, solo un 15 por ciento de las empresas latinoamericanas presenta una madurez de riesgo cibernético superior al nivel “básico”, y las tres áreas más críticas de riesgo cibernético son administración de terceros, resiliencia empresarial y seguridad de las aplicaciones, de un total de cinco aspectos calificados.
El reporte mundial destaca que, a pesar de estas cifras, el promedio de madurez cibernética general en las empresas de América Latina es igual al de las organizaciones del Reino Unido, Europa, Medio Oriente y África. Sin embargo, estos niveles parecen estar por detrás de sus pares estadounidenses.
La información refiere que el análisis fue desarrollado como una guía que ayuda a los líderes empresariales a comparar la madurez del riesgo cibernético de su organización con la de sus pares y tomar mejores decisiones al administrar este riesgo en seis rubros concretos: cibernético, operativo, cadena de suministro, interno, reputacional y sistémico.
Así, cuando se trata de administrar el riesgo de terceros a través de acuerdos legales, únicamente el 17 por ciento de las empresas de Latinoamérica presentan puntuaciones de riesgo superiores a 2.5 de 4.0. Este aspecto califica si las empresas cuentan con estrategias de seguridad cibernética para los incidentes o ataques que puedan ocurrir. Los datos muestran que en general, las compañías de la región carecen de todas éstas y de un plan de resiliencia cibernética.
En cuanto a la resiliencia empresarial, apenas un 25 por ciento de las compañías presentaron un perfil de riesgo superior al “básico” en cuanto a la continuidad de negocio o contar con un plan de recuperación ante desastres centrado en el restablecimiento y cuantificación del impacto financiero. El 35 por ciento de las empresas tuvo un perfil de riesgo superior al “básico” para la planificación de respuestas ante incidentes y ejercicios de simulación.
El informe también detectó deficiencias en otra área importante de control: la seguridad de las aplicaciones. Menos del 35 por ciento de los empresas latinoamericanas presentó un perfil de riesgo superior al “básico” en esta área, dado que no están gestionando de manera adecuada el proceso de permisos sobre aplicaciones de software, ni se están capacitando a los desarrolladores de software sobre seguridad, ni tampoco se realizan análisis dinámicos y pruebas de penetración para aplicaciones.
“Las empresas en Latinoamérica y en el mundo han experimentado nuevas formas de volatilidad en los últimos cuatro años con el aumento en la frecuencia y gravedad de las amenazas cibernéticas y los eventos de ransomware, seguidos de un mercado de seguros cibernéticos con primas y retenciones crecientes, así como un escrutinio más agudo en la suscripción”, explicó Sergio Torres, specialty leader – Financial & Professional Services & Cyber Latin America de Aon.
Y concluyó: “Por ello, la alta dirección de las empresas está más consciente que los eventos cibernéticos tienen el potencial de impactar en todas las áreas de su negocio. Lograr la resiliencia cibernética es un tema recurrente para ellos y, por tanto, la amenaza ahora se está abordando desde una perspectiva holística de riesgo”.