En el último año, 4 de cada 10 organizaciones en Latinoamérica han sufrido una brecha de seguridad y el aspecto que presenta mayor desafío para las compañías es la implementación de capacidades de monitoreo de riesgos y de respuesta ante incidentes que afectan la seguridad de la información, según reveló el Estudio 2016 sobre Tendencias de Ciber Riesgos y Seguridad de la Información en Latinoamérica, realizado por Deloitte.
“En Colombia las principales amenazas en materia de ciber seguridad son los robos de información, fraudes informáticos y ataques terroristas a entidades del sector financiero y de gobierno. Pese a esta realidad falta mayor conciencia sobre la importancia de implementar procesos de gestión de ciber seguridad, pues las empresas o entidades usualmente contratan temas operativos de seguridad, pero deben trabajar más en el tema de gestión del ciber riesgo y en la estrategia de ciber seguridad” comentó Wilmar Castellanos, socio de Deloitte y líder de Ciber Riesgos para Colombia.
Y no es para menos, pues las organizaciones en Latinoamérica están cada vez más inmersas en un contexto de desarrollo de negocios digitales y, por tanto, tienen una mayor exposición a ciber amenazas. Lo anterior ha llevado a que 1 de cada 10 organizaciones sufran brechas de seguridad de impacto alto y/o significativo, con pérdidas económicas superiores a US 250.000, más las pérdidas reputacionales o por daño de imagen, según el mismo estudio.
Si bien, hay una consolidación de la función de gestión de ciber riesgos y ciber seguridad, los ejecutivos responsables de su administración consideran que aún no cuentan con recursos suficientes para la implementación de medidas de protección. Al no contar con capacidades adecuadas para monitorear su seguridad, las compañías que sufren incidentes no pueden identificar los niveles de compromiso que estos generarán.
En el estudio, que contó con la participación de 89 organizaciones de 13 países, entre ellos Colombia, y de 7 sectores de la economía, se identificaron las siguientes tendencias de ciber riesgos y seguridad de la información:
La implementación de un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) constituye una estrategia clave para lograr eficacia y eficiencia en el monitoreo de riesgos y una respuesta adecuada ante los incidentes. En Latinoamérica, contar con este tipo de recurso es la excepción, más que la norma; y los SOCs implementados, en su gran mayoría, atacan los aspectos básicos del monitoreo de seguridad, existiendo un amplio margen para optimizar y desarrollar dichos servicios.
Las organizaciones deben documentar su mapa de amenazas y utilizarlo como uno de los elementos clave en la planificación de su estrategia de ciber riesgos y seguridad de la información.
Si bien existe conciencia sobre la importancia de la seguridad de la información, los encargados de coordinar y gestionar los procesos y actividades de seguridad informática de la compañía (CISOs, por sus siglas en inglés) aún luchan por convencer a la organización para que inviertan en seguridad.
A pesar de contar con mayor presupuesto, aún existe déficit de recursos y presupuestos para poder cubrir las necesidades y requerimientos del negocio.
Menos del 10% de las organizaciones cuentan con indicadores de gestión para evaluar la gestión de cyber riesgos
Más del 90% de las compañías no cuentan con una valoración del retorno de inversión en seguridad. Contar con indicadores clave (KPI) de la gestión de ciber riesgos y seguridad constituye un desafío que los ejecutivos no han podido resolver aún. Como contraparte del aumento de los presupuestos y de la visibilidad de la seguridad de la información, las organizaciones necesitan contar con indicadores que permitan entender el nivel de riesgo al que están expuestas y la calidad de la gestión.
“Un buen indicador debe tener un significado claro, una meta, un nivel de tolerancia y contar con información base para su cálculo. En ciber seguridad algunas de estas condiciones no son fáciles de cumplir sin hacer inversiones importantes” agregó Castellanos.
Los CISOs podrán justificar las inversiones brindando visibilidad sobre la efectividad de las mismas, basándose en indicadores relevantes para el negocio.
Los ejecutivos de ciber riesgos y seguridad de la información perciben la importancia de capacitar y concientizar a los distintos usuarios, para lograr un entendimiento de los riesgos. Gran parte del tiempo del ejecutivo de ciber riesgos y seguridad de la información se debe dedicar para comunicar a sus pares, a la Alta Gerencia y a los Accionistas sobre esta problemática y así lograr adecuada visibilidad y apoyo en la ejecución de los programas.
Para concluir, en un contexto de nuevas y más sofisticadas ciber amenazas, las Auditorías de Seguridad siguen identificando debilidades básicas de seguridad en segregación de funciones y administración de usuarios, aspectos que continúan siendo un área a mejorar por los CISOs. Adicionalmente, el desarrollo de capacidades para monitorear y responder a las ciber amenazas representa una necesidad urgente, las organizaciones aún se encuentran en un estado temprano de madurez en prácticas de monitoreo y SOC.
