Las empresas latinoamericanas y sus gobiernos necesitan más enfoque en la ciberseguridad

Por primera vez, más de una docena de empresas de ciberseguridad se han unido para producir un estudio agnóstico titulado LATAM CISO 2023: Perspectivas de los líderes de la industria. Más de 200 CISO, además del Banco Interamericano de Desarrollo (BID), la Federación Latinoamericana de Bancos (FELABAN) y el Foro Económico Mundial (WEF), contribuyeron al informe, realizado por la Universidad de Duke. 

En América Latina se reportan más de 1.600 ciberataques por segundo, lo que convierte a los ciberataques en uno de los problemas de seguridad de más rápido crecimiento en la zona. Los datos recogidos en el informe revelan que los daños económicos de los ciberataques podrían superar el 1% del PIB de algunos países de las Américas y aumentar hasta el 6% si se atacan infraestructuras críticas. Además, solo siete de los 32 países analizados por el Banco Interamericano de Desarrollo (BID) tienen planes para proteger su infraestructura crítica de este tipo de ataques, y solo 20 cuentan con equipos de respuesta a emergencias cibernéticas (CSIRTS, por sus siglas en inglés).

Los principales hallazgos del informe incluyen que más del 70% de los encuestados respondieron que la cantidad de ataques a su organización ha aumentado con respecto al año anterior. Se hace ver que el phishing y el ransomware como algunos de los ataques cibernéticos más destacados que enfrenta esta región y concluye con recomendaciones sobre la construcción de políticas públicas para abordar estas amenazas crecientes.

Muchas organizaciones se toman muy en serio la creciente amenaza de los ataques de día cero, y queda espacio para crecer. Más de la mitad de todas las organizaciones (60,83%) realizan evaluaciones de riesgos de seguridad solo al menos una vez al año (33%) o al menos dos veces al año (28%). Los CISO de LATAM informaron que los parches se aplicaron dentro de los primeros 30 días (29%) o 60 días (26%).

Más del 50% de los encuestados informaron que brindan capacitación de concientización sobre seguridad mensualmente (26%) o trimestralmente (25%), y otros lo hacen al menos dos veces al año (18%) o una vez al año (22%). Solo el 8% informó una falta total de capacitación en concienciación sobre seguridad. Cuando se les preguntó acerca de los ejecutivos de “nivel C”, el 47% de los encuestados creía que esos ejecutivos tenían una "conciencia y conocimiento moderados de los problemas estratégicos de ciberseguridad", y el 41% creía que tenían "suficiente conciencia".

El informe ofrece diferentes perspectivas de ciberseguridad de los líderes de la industria en América Latina. Fue creado para identificar las brechas en la seguridad y las necesidades y limitaciones de las organizaciones en América Latina que les impiden protegerse mejor contra los ataques cibernéticos. Este documento presenta los resultados de una encuesta de líderes en toda la región de América Latina. Proporciona lineamientos y recomendaciones para la creación de políticas públicas para desarrollar y fortalecer las capacidades cibernéticas.

El informe también destaca muchas áreas que requieren más atención por parte de los gobiernos, como presupuestos, parches y autenticación multifactor. El desarrollo de enfoques personalizados para los presupuestos puede garantizar que los ciudadanos y las empresas tengan la asistencia adecuada para proteger sus datos y redes. Además, los gobiernos deben promover la creación de marcos de seguridad cibernética que requieran que las organizaciones realicen pruebas de vulnerabilidad continuas y administren fondos gubernamentales para realizar dichas evaluaciones. Las operaciones de seguridad cibernética deben adoptar un enfoque que combine las operaciones de seguridad con la tecnología, mejorando la visibilidad, las capacidades de orquestación y la retroalimentación operativa para desarrollar la resiliencia cibernética.

Es la esperanza de que este informe permita a las organizaciones examinar a fondo sus capacidades de ciberseguridad y comprender los próximos pasos a seguir para aumentar la resiliencia contra los ataques. El informe encontró que si bien se están realizando esfuerzos para fortalecer las capacidades, las amenazas persisten a un ritmo preocupante. Las organizaciones y los gobiernos deben continuar prestando más atención a sus vulnerabilidades y tomar medidas proactivas para abordarlas.