En los últimos 24 meses, cuatro de cada 10 organizaciones en América Latina y el Caribe sufrieron un incidente de ciber seguridad. Es por ello que la seguridad de la información, en un contexto altamente interconectado, es uno de los retos más apremiantes que deben enfrentar las organizaciones de la región.
Dada la importancia de la ciber seguridad en un mundo con modelos de negocios flexibles y soportados en la tecnología, Deloitte presentó los resultados del estudio sobre Tendencias en Gestión de Ciber Riesgos y Seguridad de la Información en América Latina y el Caribe; el cual, identifica las principales corrientes en la gestión del riesgo y arroja cifras sobre cómo avanza la región en esta materia.
El informe recopila la información entregada por oficiales de seguridad de la información (CISO) y ejecutivos a cargo de la gestión de ciber riesgos de 150 organizaciones, en 12 países.
El estudio identificó una evolución en la gestión de ciber riesgos, que se convierte en un nuevo paradigma sustentado en cuatro pilares estratégicos: resiliencia, gobierno, protección de la información (seguro) y vigilancia.
Estar preparado para prevenir y atender incidentes de ciber seguridad debe ser un objetivo estratégico. Así es como contar con un proceso robusto,
documentado y probado es todavía un desafío para las organizaciones de la región y locales.
En los últimos 24 meses, 20% de las organizaciones nacionales consultadas afirmaron que tuvieron ciberataques; de ellas, el 10% tuvo al menos dos ataques.
Más de la mitad de las organizaciones en AL&C no han incorporado el escenario ciber dentro de sus programas de continuidad de negocio, y sólo un 3% de las organizaciones realiza algún tipo de simulación de un incidente ciber para validar su nivel de preparación y respuesta.
En relación con el componente de gobierno, que se refiere a la estrategia, procesos, roles y responsabilidades de ciber seguridad, el estudio señala que solo 10% de las empresas en Colombia tienen un gobierno de ciber riesgos y seguridad formalizado y funcionando; y se detectó que en 40% de las organizaciones no existen roles específicos para gestionar la ciber seguridad.
Así mismo, en Colombia 50% de las organizaciones destinan entre 1%y 5% del presupuesto de TI para fortalecer el sistema de ciber seguridad, lo que corresponde a 13 puntos menos que la región. Solo 10% asigna más de 11% del presupuesto de TI a mejorar la gestión del riesgo.
Frente a la protección de la información, uno de los resultados destacados fue que 60% de las empresas nacionales aseguran están medianamente
protegidas, 40% dicen estar muy protegidas y ninguna estar extremadamente protegida.
Aunque la mitad de las organizaciones se siente muy protegida respecto a los ciber riesgos; la madurez de ciertas prácticas clave en la gestión de los mismos, como monitoreo, respuesta ante incidentes y ciber inteligencia, pueden indicar un grado de optimismo mayor al que dichas capacidades ameritarían.
La proliferación de información en Internet y la capacidad de impactar la reputación de la marca y la organización requiere que se monitoreen las fuentes públicas de información de forma práctica.
Según el estudio, el 50% de las empresas locales hacen un monitoreo básico y el 20% simplemente no hacen monitoreo. Adicionalmente, el reporte revela que solo 10% de las organizaciones del país comparten información de inteligencia a nivel global.