La ciberseguridad es un problema crítico en Latinoamérica, con más de 138 mil millones de intentos de ciberataques en 2022. México es el país más atacado. Empresas deben fortalecer la colaboración entre CISO, CRO y CFO para mejorar la resiliencia cibernética y adaptarse a regulaciones crecientes en la región.
No cabe duda de que la ciberseguridad es un problema global. Por ejemplo, en 2022 un informe de Fortinet indicó que hubo más de 138 mil millones de intentos de ciberataques a empresas ubicadas en Latinoamérica. Esto convirtió a la región en una de las más atacadas del mundo.
El informe destaca que México es el país más atacado de la región, seguido de Brasil y Colombia.
Otros estudios refieren que las principales formas por las cuales sucedieron los Ciberataques a las empresas en América Latina fueron: 39 por ciento por hackeo o intrusión, 37 por ciento acceso no autorizado y 11 por ciento error de empleados o negligencia.
Mientras que en menor porcentaje (por debajo del 10 por ciento cada una) estuvieron: la exposición accidental online, el robo físico, los datos en movimiento y el robo interno. Esto pone en evidencia la falta de preparación y conciencia de los empleados al interior de las organizaciones.
¿Eres gamer? Cuida tus datos y tu bolsillo con estas 5 medidas de ciberseguridad
Por otro lado, CyQu, una herramienta desarrollada para la evaluación de riesgos basada en NIST, que ayuda a tomar mejores decisiones de gestión de riesgos cibernéticos, también analizó tendencias en América Latina.
Cuando se revisó la información este año, fue evidente la similitud con la data obtenida en Europa, Oriente Medio y África, donde hay una mayor conciencia, así como percepción del riesgo. Sin embargo, aspectos específicos de la región son preocupantes.
Este es el caso de la gestión de la cadena de suministro, la resiliencia corporativa y la seguridad de las aplicaciones. Esto demuestra la fragilidad de las empresas latinoamericanas en estas áreas.
Algunos factores de riesgo que han tenido un impacto significativo en la exposición de las empresas han sido los proveedores endebles y mal calificados, mayor uso de tecnologías operativas, cambios regulatorios y el factor humano. De acuerdo con las empresas, también influyen las limitaciones en la inversión en cyber seguridad, así como factores culturales.
La creciente regularidad y complejidad de estos ataques han llevado a las empresas a encontrar nuevas soluciones para gestionar el riesgo cibernético. Por ejemplo, las organizaciones están aprendiendo que la colaboración entre el director de Seguridad de la Información (CISO), el director de Riesgos (CRO) y/o el director Financiero (CFO), es cada vez más necesaria para coordinar los esfuerzos de ciberseguridad.
Si bien el papel de CRO o RM ha ganado mayor relevancia y reconocimiento en el mercado latinoamericano en la última década. Aún existe una distancia considerable entre este rol y uno similar en el área de seguridad de la información desarrollado por el CISO, que también hace gestión de riesgos desde la perspectiva de la tecnología y la data, convirtiéndolo en dos factores fundamentales para el negocio.
Las dos posiciones no son necesariamente iguales, pero son igualmente importantes. El CISO debe conectarse con el CRO de una manera mucho más directa, y los procesos de toma de decisiones deben ser compartidos.
Aunque históricamente ha habido poca o casi nula interacción entre los líderes de riesgo y seguridad de la información, esto ha cambiado de manera importante.
Ahora existe un esfuerzo desde la alta gerencia hacia abajo para separar roles con el fin de garantizar el enfoque necesario, así como para crear una mayor interconexión que favorezca los procesos de toma de decisiones y mejore el gobierno corporativo.
Si bien los CRO y los CISO pueden compartir instintivamente la intención de reducir el riesgo cibernético, es posible que no sepan hasta qué punto sus objetivos están realmente alineados entre sí.
Parte de esta falta de conexión puede deberse a las diferentes formaciones de ambos. De esta manera, lo ideal sería alentar la colaboración entre el CISO y el CRO para apoyar la ciberseguridad.
Sin embargo, la participación no debe restringirse solo a estas áreas. Los líderes de Marketing, Recursos Humanos y Relaciones con Inversores desempeñan un papel clave en el desarrollo de las estrategias de resiliencia cibernética de la empresa.
Además, líderes como los CFO (Chief Financial Officers), suelen supervisar las funciones del CRO, CISO, CMO, CCO, por mencionar algunos, fomentando la interacción más eficiente entre estas áreas.
¿Cómo proteger a los niños en la red? 6 consejos de ciberseguridad para ellos
Diversos países en América Latina se han dado a la tarea de establecer su propia legislación para la protección de datos y la seguridad de la información. Entre las iniciativas implementadas en países de la región están establecer un marco para el desarrollo de nuevas estrategias de ciberseguridad y seguridad de la información, leyes de protección de datos y evaluación de amenazas cibernéticas, entre muchas otras.
En México, por ejemplo, existen normativas y regulaciones que abarcan la privacidad, así como la ciberseguridad por medio de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, la cual habla sobre sanciones impuestas por no cumplir con los lineamientos.
También se encuentra la Ley de Ciberseguridad Nacional que tiene como objetivo garantizar los principios y directrices para garantizar la ciberseguridad del país, al mismo tiempo que protege a los usuarios de las tecnologías de la información y atender denuncias por ciberdelitos.
El siguiente paso será mantener regulaciones actualizadas y en constante revisión para mantenerse al día, así como que puedan trabajar en conjunto a nivel Latinoamérica, tal como se lleva a cabo en la Unión Europea.
Como líderes en estos temas, en términos generales, su papel es apoyar en la gestión de riesgos de una organización, por lo que, naturalmente, se trabaja en estrecha colaboración con CRO (o roles similares) conectando, también, con expertos en seguridad cibernética.
Es muy alentador ver que la madurez cibernética de las organizaciones en toda Latinoamérica ha aumentado y mejorado en los últimos años como resultado de la estrecha relación entre los CRO y los CISO.
Al darse cuenta de que los dos roles se enfrentan al mismo escrutinio de los controles cibernéticos y que ambos se centran en el mismo resultado, un perfil de riesgo cibernético más bajo, las empresas pueden dar pasos significativos en la asociación para crear una cultura de resiliencia cibernética evitando, así, posibles pérdidas futuras.
Sergio Torres, Specialty Leader LATAM F&P Services and Cyber en Aon, Edwin Sabogal, Cyber Regional Manager LATAM en Aon y María Fernanda González Líder de Cyber en México para Aon.