Informe de ciberresiliencia 2023
Este artículo 6 es parte 16 de este informe.
October 11, 2023 / 5 minuto(s) de lectura
Sigue estos pasos para mitigar los riesgos operativos
Las aseguradoras se están centrando en los controles críticos concebidos para reducir la probabilidad o gravedad de un incidente de ransomware que pueda interrumpir las operaciones.
Conclusiones principales
- Los clientes informaron de una mejora global en la implantación de controles críticos en 2022 con respecto a 2021 en aquellos controles a los que las aseguradoras habían dado prioridad.
- Las filtraciones de datos por ransomware disminuyeron un 16 % del tercer al cuarto trimestre de 2022, pero los datos del mercado de seguros cibernéticos y de errores y omisiones (E&O) muestran un repunte en el primer trimestre de 2023.
- En todas las regiones, el nivel de gestión de la continuidad del negocio (BCM) de los clientes se mantuvo estable entre 2020 y 2022 y se sitúa en un nivel básico.
El riesgo operativo, que se define como el riesgo de pérdidas causadas por la interrupción de las operaciones de una organización o por fallos de las personas, los procesos o la tecnología, es una de las principales preocupaciones de los equipos de seguridad global y las aseguradoras. El ransomware y el phishing siguen representando un riesgo importante. Aunque las filtraciones de datos por ransomware disminuyeron un 16 % del tercer al cuarto trimestre de 20221, los datos del mercado de seguros cibernéticos y de errores y omisiones (E&O) muestran que en el primer trimestre de 2023 se produjo un repunte del ransomware y la frecuencia de los incidentes aumentó un 49 %.2 El phishing y el phishing de objetivo definido también aumentaron bastante a principios de 2023, según el equipo de ciberseguridad de Aon. Debido al perfeccionamiento de estas técnicas, a los atacantes les resulta más fácil engañar y a las víctimas más difícil diferenciar lo legítimo de lo ilegítimo.
Las organizaciones deben prepararse para el peor de los casos. Por ejemplo, ¿qué ocurre si la red de la empresa se cae por completo? ¿Cómo se apoyará y mantendrá el negocio? ¿Dispone la empresa de un modelo de resiliencia que pueda gestionar este proceso? ¿Cómo mantendrá la empresa la integridad de los clientes, aun a costa de la oportunidad de negocio? Estas preguntas son elementos cruciales del plan de continuidad del negocio (PCN) y de la gestión de la continuidad del negocio (BCM). Los datos de CyQu de Aon revelaron que, en todas las regiones, el nivel de BCM de los clientes se mantuvo estable entre 2020 y 2022 y se sitúa en un nivel básico. Es necesario centrarse más en la planificación de escenarios de interrupciones operativas. Si bien es imprescindible establecer controles técnicos en la empresa para prevenir el ransomware, es igual de importante estar preparados para las interrupciones en todas las operaciones empresariales.
Las aseguradoras y el mercado esperan cada vez más este nivel de planificación del riesgo operativo. Aunque las condiciones del mercado de los seguros cibernéticos y de E&O se han estabilizado, y la nueva capacidad sustancial y los porcentajes de pérdidas más bajos ayudaron a disminuir las tasas en cibernética y E&O a principios de 2023,2 el proceso de aseguramiento sigue siendo riguroso.3 Las aseguradoras se están centrando en los controles críticos concebidos para reducir la probabilidad o gravedad de un incidente de ransomware que pueda interrumpir las operaciones. Entre estos controles prioritarios se encuentran la gestión de accesos, la resiliencia empresarial y la gestión de la seguridad de los datos y parches.4
Resultados de los datos de los controles de señal de alarma complementarios de ransomware: informe de clientes de Aon
Los clientes informaron de una mejora global en la implantación de controles críticos en 2022 con respecto a 2021 en aquellos controles a los que las aseguradoras habían dado prioridad. En Estados Unidos, los sectores que registraron los avances más notables en controles informáticos críticos fueron el de la construcción (+10 %), el manufacturero (+9 %) y el de finanzas y seguros (+7 %). Para seguir siendo competitivas a nivel mundial, las empresas manufactureras están adaptándose a procesos más digitalizados e integrados del internet de las cosas (IdC), tanto en las fábricas como en las cadenas de suministro.5 Esto está en línea con esta dedicación a la madurez en la gestión de riesgos operativos. El sector de la construcción es similar. Muchas empresas han empezado a utilizar tecnologías del IdC para mejorar la seguridad en el lugar de trabajo y gestionar el progreso.6 Esta digitalización amplía la superficie de ataque. Los equipos del sector de la construcción también han pasado de los flujos de trabajo en papel a la nube, lo que aumenta las vulnerabilidades y brinda una oportunidad perfecta para el ransomware y el phishing. En EMEA y el Reino Unido, los datos de 2022 mostraron que los sectores manufacturero y de la construcción son menos sofisticados en cuanto a la madurez de los controles de TI críticos. En concreto, la construcción registró deficiencias en más de la mitad de estos controles.
Las organizaciones se centraron en reforzar los controles de copia de seguridad críticos en 2022, con un 61 % de los controles implementados en 2022 en comparación con el 55 % de 2021. Sin embargo, al examinar los datos de forma más detallada, aparece una brecha. Casi el 90 % de las empresas de EE. UU. declararon no guardar copias de seguridad en la nube, y el 70 % no guarda copias de seguridad fuera de sus instalaciones ni dispone de copias de seguridad inmutables. La seguridad de las copias de seguridad sigue siendo una de las principales preocupaciones, y con razón. El ransomware ha evolucionado para atacar a las propias copias de seguridad, lo que amenaza aún más los datos. Las copias de seguridad inmutables son fundamentales para las empresas que dependen de la seguridad de los datos de los que son responsables. Solo las copias de seguridad inmutables proporcionan una copia limpia y reciente de los datos que permite una recuperación rápida y una protección eficaz.
La resiliencia de las empresas siguió siendo una de las principales preocupaciones de los clientes en 2022. Las aseguradoras han pasado de las preguntas simples tipo sí/no sobre, por ejemplo, si la organización tiene copias de seguridad, a preguntar cómo de resiliente es la empresa. Las empresas deben demostrar que el proceso comercial puede soportar las consecuencias de una brecha cibernética. Los clientes de los sectores manufacturero (67 % frente al 59 % en 2021) y de la construcción (66 % frente al 55 % en 2021) registraron la mejora más importante en los controles críticos relacionados con la resiliencia. Al examinar las diferencias según el tamaño de la compañía, las empresas del mercado medio y las pymes informaron de una falta esencial de controles de resiliencia empresarial con más frecuencia que las grandes empresas y las empresas globales. Sin embargo, esta tendencia se invirtió en el caso de la seguridad de los terminales, donde las herramientas de detección y respuesta no cubren todos los terminales tecnológicos de las grandes empresas y multinacionales. Resulta alarmante que más de la mitad de las organizaciones de los clientes no hayan realizado pruebas de simulación como parte del plan de continuidad del negocio, y que más de un tercio no haya planificado la respuesta ante incidentes.
Referencias
1 “E&O and Cyber Market Review Q4 2022”. E&O and Cyber Market Review | 2022 (aon.com)”
2 «Mercados cibernéticos y de errores y omisiones (E&O) favorables a los compradores: cómo aprovecharlos» Un mercado cibernético y de errores y omisiones (E&O) favorable a los compradores: cómo aprovecharlo | Aon
3 Trends by Line of Business – Q4 2022 Global Market Insights (aon.com)
4 “E&O and Cyber Market Review Q4 2022”. E&O and Cyber Market Review | 2022 (aon.com)
5 Manufacturing Cybersecurity. Palo Alto Networks. Informe. 2023. https://www.paloaltonetworks.com/industry/unit42-manufacturing
6 Understanding Cyber Risk in the Construction Industry. IT Chronicles. Artículo. 21 de marzo, 2022. https://itchronicles.com/information-security/understanding-cyber-risk-in-the-construction-industry/
Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.
La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.
Gestionar el riesgo cyber en seis temas destacados.
El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.