Marsh y Microsoft presentan el estudio «El estado de la resiliencia cibernética»

Después de casi tres años de un cambio en el modelo trabajo, una inevitable transformación digital e innumerables ciberataques, la mayoría de los líderes de las organizaciones mantienen una baja confianza en su capacidad para gestionar el riesgo cibernético, cifra que aproximadamente se ha mantenido desde el estudio del año 2019. Esto es según un nuevo reporte publicado por Marsh y Microsoft.

El reporte, El estado de la resiliencia cibernética, encuestó a más de 660 tomadores de decisión sobre riesgos cibernéticos a nivel mundial y 162 en Latinoamérica para analizar cómo el riesgo cibernético es visto por diversos ejecutivos de organizaciones líderes, incluida la seguridad cibernética, TI, gestión de riesgos y seguros, finanzas y liderazgo ejecutivo.

Según el reporte, la confianza de los líderes en las capacidades de gestión del riesgo cibernético de su organización, incluida la capacidad de comprender y evaluar las amenazas cibernéticas, mitigar y prevenir los ataques cibernéticos, y administrar y responder a los ataques cibernéticos, prácticamente no ha cambiado desde 2019. El año 2019, 22% de los encuestados en Latinoamérica dijeron que tenían mucha confianza en su capacidad de comprender y evaluar las amenazas cibernéticas y 18% en sus capacidades para gestionar y responder ante ciber incidentes; mientras que, en 2022, los valores variaron ligeramente, con 19% y 16% respectivamente. Sin embargo, en el año 2019, el 20% tenía alta confianza en sus capacidades de mitigación o prevención de ciberataques, en tanto que, en 2022, este número ha bajado a 12%.

“Dado el continuo aumento del ransomware y el creciente panorama de amenazas actual, no sorprende que muchas organizaciones no se sientan más seguras de su capacidad para responder a los riesgos cibernéticos ahora que en 2019”, dijo Edson Villar, Líder de Consultoría en Riesgo Cibernético en Marsh Advisory para Latinoamérica.

Además, muchas organizaciones aún luchan por comprender los riesgos que plantean sus proveedores y las cadenas de suministro digitales como parte de sus estrategias de ciberseguridad. Solo el 43% de los encuestados afirmó haber realizado una evaluación de riesgos de sus proveedores o cadenas de suministro.

Datos relevantes de ciberseguridad industrial para Colombia:

• Según los resultados de la Encuesta de Ciberseguridad en Sistemas de Control Industrial 2022 realizada entre Marsh e ISACA se puede observar que en Colombia más del 40% de las organizaciones considera que el responsable directo de la ciberseguridad de los entornos OT es el área o equipo de Tecnología de Información, seguido del 35% de los encuestados que consideran que esta responsabilidad recae sobre un equipo específico de Seguridad de la Información y/o Ciberseguridad.
• Teniendo en cuenta la alta dependencia de sectores como Alimentos y bebidas, Manufactura, Energy (Oil & gas) y Power (Generación, transmisión y distribución de energía) con los sistemas de control industrial y el creciente nivel de interconectividad, de acuerdo a los resultados de este estudio, en el último año se ha encontrado que en 75% de las organizaciones encuestadas en Colombia la inversión de ciberseguridad en el entorno OT se ha incrementado. El 100% de las compañías de Generación, Transmisión y distribución de Energía y de Oil & gas encuestadas manifiestan haber incrementado la inversión de ciberseguridad en el entorno OT en el último año.
• El incremento en los casos de ciberataques ha hecho que diversas industrias pongan una mayor atención y preocupación, en la identificación y mitigación de vulnerabilidades en entornos OT. En los últimos 24 meses, el 65% de las organizaciones encuestadas en Colombia han realizado diagnósticos de ciberseguridad del entorno OT. Siendo los sectores de Energy y Power en donde, de las empresas encuestadas, el 100% han realizado diagnósticos de ciberseguridad en entorno OT.
• Se puede observar que 60% de las compañías encuestadas en Colombia realizan análisis de vulnerabilidades. Sin embargo, esto no es suficiente, teniendo en cuenta el incremento en la frecuencia de los ataques que se vienen realizando a las redes industriales. Por otra parte, es importante resaltar que a pesar de que más de la mitad de las organizaciones realiza análisis de vulnerabilidades, aún persiste un bajo porcentaje que ha adoptado la ejecución de pruebas Ethical Hacking o Red Team como parte de las evaluaciones de seguridad que realizan en los entornos OT. Solamente el 30% de las organizaciones encuestadas en Colombia realizan pruebas de ethical hacking en entornos OT y 15% realizan pruebas de red team.
• En los resultados de la encuesta, se observa que más del 60% de los encuestados en Colombia afirman que cuentan con medidas físicas o lógicas (mediante VLANS), para separar los componentes de la red de TI y la red OT. Sin embargo, en la gran mayoría de los casos, esta segmentación solo es aplicada para separar estos dos mundos, pero a nivel interno, la arquitectura de las redes OT sigue siendo plana.
• El 50% de las organizaciones participantes indicaron que no contaban con capacidades de monitoreo para sus redes industriales y solo 20% afirmaron contar con un SIEM integrado a su entorno OT y capacidades de monitoreo permanente, a través de un centro de operaciones de seguridad (SOC).
• La encuesta reveló que 65% de los participantes, cuentan con un plan de recuperación de desastres (DRP) que les permite asegurar la disponibilidad de estos sistemas que soportan la operación. La industria en la cual se percibe un mayor nivel de madurez en DRP para OT es la de Energy, ya que 100% de los encuestados que pertenecen a esta industria manifiestan tener esta cobertura.
• Aproximadamente 85% de los encuestados afirmó no haber sufrido ningún ciberataque o incidente de seguridad significativo en los últimos 2 años. Sin embargo, si consideramos el explosivo aumento de ciberataques a nivel global, este número podría representar una falsa sensación de seguridad y detrás de él, podría encontrarse un grupo de empresas que no cuentan con adecuadas capacidades de monitoreo y detección, ya que no han sido víctima de ataques; de igual manera, un gran número de ellas no tiene dichas capacidades implementadas y solo podrían detectar un ataque, cuando tenga una manifestación visible o sus operaciones se vean afectadas.

Otros hallazgos del reporte para nuestra región son:

• Solo el 41% de las organizaciones miran más allá de la ciberseguridad y los seguros para involucrar sus funciones legales, de planificación corporativa, finanzas, operaciones o gestión de la cadena de suministro en la elaboración de planes de riesgo cibernético.
• Cuatro de cada diez encuestados en la región (41%) dijeron que su organización usa métodos cuantitativos para medir su exposición al riesgo cibernético, lo cual es un paso fundamental para comprender cómo los ataques cibernéticos y otros eventos pueden generar volatilidad. Esta es una mejora con respecto a la encuesta de 2019, cuando solo tres de cada diez encuestados (30%) afirmaron que su organización usaba métodos cuantitativos. Las tarifas de los seguros de Cyber continuaron aumentando, impulsadas en gran medida por el continuo aumento en la frecuencia y la gravedad de las reclamaciones de ransomware, y muchas aseguradoras intentaron endurecer los términos y condiciones de la cobertura, especialmente en relación con el conflicto en Ucrania.
• El 63% de las empresas en Latinoamérica y el Caribe considera que el Home Office las pone en riesgo de un ciberataque, seguido del uso de dispositivos móviles personales de los colaboradores (59%)
• La mitad de las empresas (50%) menciona que no puede medir su exposición al riesgo cibernético por la falta de talento dentro de la organización.

“Contrarrestar con éxito las ciber amenazas debe ser un objetivo de toda la empresa, destinado a desarrollar la resiliencia cibernética en lugar de inversiones independientes en prevención de ataques o defensa. Una mayor colaboración entre empresas puede ayudar a las organizaciones a cerrar las brechas que existen actualmente, aumentar la confianza e informar mejor la toma de decisiones estratégicas generales en torno a las ciber amenazas”. Agregó Villar.

Ante este panorama, Marsh y Microsoft hacen un llamado a las empresas para apostar por una estrategia integral y bien definida de prevención para el riesgo cibernético. “Las empresas deben estructurar estrategias de ciberseguridad con un sentido de urgencia, teniendo en cuenta que un ciberataque es inminente, sin importar el ramo o la industria, incluyendo no solo iniciativas relacionadas con la mitigación, sino también con la transferencia del riesgo, a través de un seguro de riesgo cibernético” complementó Villar.