Ciberseguridad empresarial

Ciudad de México a 31 de enero de 2022.

Hace aproximadamente un año, se dio a conocer que una reconocida empresa de videojuegos sufrió un ciberataque en el que, debido a vulnerabilidades en sus sistemas de seguridad, le fue robada información, así como códigos fuente de sus productos. El ilícito trajo serias repercusiones para la compañía: no solo se produjeron pérdidas económicas (incluido el pago exigido por los ciberdelincuentes para devolver la información robada¹), sino que también se afectó su reputación.

Este es solamente un ejemplo de las amenazas cibernéticas a las que están expuestas miles de empresas, sin importar su tamaño. En 2021, múltiples firmas reconocidas también fueron impactadas por ciberataques, en diferentes niveles².

Todos estos incidentes han hecho que cambien las perspectivas de los negocios, donde cada vez resulta más evidente la importancia de contar con una estrategia robusta de ciberseguridad. Por ejemplo, el año pasado, 69% de los líderes empresariales alrededor del mundo reconocieron un incremento de los ataques en línea dirigidos hacia sus compañías³, de acuerdo con la Encuesta sobre el futuro del cyber 2021 de Deloitte.

Teniendo en cuenta estos antecedentes, ¿cuáles son, actualmente, las principales amenazas que enfrentan las empresas y cómo pueden proteger de mejor manera el valor de su negocio? Para tener un punto de vista especializado sobre este asunto, entrevistamos a Paula Álvarez, Socia Directora de Cyber Risk en Deloitte México.

^{_{1 Proceso, “Los peores hackeos de 2021. ¿Qué es lo que (no) hemos aprendido?”, 21 de enero de 2022.}}

^{_{2 Redes Zone, “Estos han sido los peores ataques de 2021”, 31 de diciembre de 2021.}}

^{_{3 Deloitte, “Encuesta sobre el futuro del cyber 2021”, noviembre de 2021.}}

A casi dos años de la pandemia, y en un contexto de mayor digitalización, ¿cuál ha sido el principal desafío cibernético que han enfrentado las empresas?

De acuerdo con nuestra Encuesta sobre el futuro del cyber 2021, el desafío más grande para los(as) directores(as) de Informática (CIOs, por sus siglas en inglés) y los(as) directores(as) de Seguridad de la Información (CISOs, por sus siglas en inglés) ha sido observar lo que sucede, en tiempo real, en los entornos de redes de sus organizaciones, los cuales son ambientes tecnológicos complejos en los que se combinan tres diferentes factores:

1. Infraestructura propia.
2. Distintos proveedores de nube.
3. Esquemas híbridos (diferentes centros de datos internos con nubes públicas o privadas).

Por lo anterior, el reto para las compañías consiste en implementar nuevas formas de gestión tecnológica y de ciberseguridad que protejan mejor los ambientes descritos, ya que éstos definen la superficie de ataque de un ciberdelincuente. Entre más compleja y grande es una empresa, también es más difícil de proteger y, en consecuencia, más fácil para los ciberdelincuentes encontrar puntos de vulnerabilidad.

¿A qué riesgos de ciberseguridad se están enfrentando hoy las organizaciones?

A demasiados, pero si nos enfocamos en las amenazas, se ha intensificado el uso de ransomware, que consiste en el robo y encriptación de información de una empresa, a fin de que los criminales soliciten por su devolución el pago de un rescate⁴: de acuerdo con el Foro Económico Mundial, en el informe Global Cybersecurity Outlook 2022, durante el primer semestre de 2021 se registró un aumento global de 151% en ataques de este tipo, con un promedio de 270 incidentes por compañía.

Estas cifras son cada vez más preocupantes, porque el impacto de un solo incidente de ciberseguridad tiene el potencial para afectar a una empresa en su totalidad, interrumpir sus operaciones, generar grandes pérdidas económicas y/o destruir su reputación ante sus clientes y ante el mercado.

Al respecto, el Foro Económico Mundial aseguró, en el mismo documento, que cada incidente de ciberseguridad en las empresas alcanzó, el año pasado, un costo promedio de 3.6 millones de dólares, a la par que provocó una pérdida promedio de 3% del valor de sus acciones en la industria bursátil.

Sin embargo, aun conociendo estos riesgos, muchas organizaciones no están tomando medidas para reforzar su ciberseguridad, lo cual explica que, en promedio, les lleve alrededor de 280 días identificar un ataque y responder al mismo⁵.

Datos como estos, sin duda, hacen necesario que las organizaciones desarrollen mayor conciencia y mejores hábitos, así como un programa de ciberseguridad que les permita madurar sus capacidades y estar lo suficientemente protegidas.

^{4 Deloitte, An Anti-Ransomware Strategy, septiembre de 2020.}

^{5 Foro Económico Mundial, Global Cybersecurity Outlook 2022, 18 de enero de 2022.}

Finalmente, ¿qué acciones deben realizar las organizaciones que pretendan reducir los posibles impactos de las amenazas cibernéticas?

En vista de los riesgos actuales, si una empresa no cuenta con especialistas internos en ciberseguridad, tiene la obligación de asesorarse en la materia. Buscar apoyo de expertos (como Deloitte), en general, es una buena práctica, ya que nosotros estamos al día sobre los riesgos cibernéticos, sobre las tendencias y nuevas tecnologías que pueden proteger el valor de nuestros clientes. 

En estas circunstancias, es recomendable que las organizaciones, por medio de un tercero, realicen una evaluación de madurez en ciberseguridad que les permita comprender el nivel en el que se encuentran y los riesgos a los que están expuestas, a fin de definir un plan estratégico en la materia (comúnmente a tres años) para elevar sus capacidades.

En definitiva, la ciberseguridad no solamente implica la implementación de herramientas tecnológicas, sino que también requiere contar con un modelo de gobierno, así como talento capacitado, mismo que, en ocasiones, se puede suplir con el apoyo de expertos. Hoy, los líderes de las empresas están cada vez más convencidos de que esta inversión es fundamental, pues con ella pueden proteger mejor su negocio.