Empresas

¿Están preparadas las empresas ante un ciberataque?

Un estudio de la Universidad del Rosario comprobó el estado de la seguridad de la información.

Universidad del Rosario¿Están preparadas las empresas ante un ciberataque?
Universidad del Rosario

Introduzca el texto aquí

28 de noviembre 2017 , 05:30 p.m.

Una ola de ataques cibernéticos a nivel mundial puso en alerta máxima este año tanto a ciudadanos como a organizaciones, cuando salieron a la luz pública las recomendaciones para evitar ser afectados por un ‘Ransomware’ o código malicioso que cifra archivos almacenados en los computadores.

“Esta es una oportunidad para evaluar qué tan preparados estamos ante un ataque cibernético”, dijo Jeimy J. Cano, Ph.D, profesor de la Escuela de Administración de la Universidad del Rosario, al alertar sobre los desafíos de las empresas en la actualidad y compartir los resultados de “La ventana de AREM”, un instrumento estratégico y táctico, de su autoría, que surge como una solución viable a la hora de repensar la gestión de riesgos en las organizaciones.

Hoy el 81 por ciento de los funcionarios de empresas grandes y pequeñas tienen acceso a internet. Sin embargo, un reciente estudio señala que el presupuesto destinado a seguridad digital es de menos del 1 por ciento de las ventas o inversiones. Mientras tanto, los ataques cibernéticos aumentan en sofisticación e impacto, así que la única salida es anticiparse y ampliar el espectro a la hora de gestionar los riesgos.

Un estudio pionero en la región, fruto de la colaboración entre el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID) reveló que del 65 por ciento de las empresas entrevistadas, entre el 81 por ciento y el 100 por ciento de su fuerza laboral cuenta con acceso a Internet (en el sector público el 69 por ciento). Aun así, solo el 37 por ciento de ellas –de los sectores servicios, industria y comercio– creen que están preparadas para manejar un incidente digital.

En cuanto al tamaño de las empresas, el 70 por ciento de las grandes compañías se sienten preparadas para gestionar un incidente de esta naturaleza, frente al 45 por ciento de las microempresas. No obstante, cuando se compara con las entidades territoriales, los datos muestran que tan solo el 28 por ciento a nivel municipal y el 38 por ciento a nivel departamental se sintieron prepararos para manejarlo.

Para el académico, “el primer fundamento es reconocer que aunque los marcos de gestión de riesgos funcionan, no se han actualizado en los últimos 40 años, cuando resulta que hoy nos movemos en un mundo volátil, incierto, complejo y ambiguo (VICA), que nos exige a las empresas y a las personas estar adelante de la curva para anticipar los riesgos y amenazas emergentes”.

En este camino, se necesita darle una mano a dichos marcos de gestión de riesgos, de manera que permitan enfrentar el entorno VICA mencionado y tener herramientas para anticiparnos, explica.

El estudio de MinTIC, la OEA y el BID muestra justamente los impactos de los incidentes de seguridad de la información en Colombia, lo que lleva a entender que estos no pasan desapercibidos, y menos hoy cuando la dependencia de las tecnologías es cada vez mayor, sino todo lo contrario: que tienen repercusiones en la operación, en los negocios y en el ámbito económico y reputacional de las empresas.

Responsables y presupuesto asignado

En Latinoamérica, solo el 14,2 por ciento de las empresas tienen Directores de Seguridad Informática, según un estudio de la Asociación Colombiana de Ingenieros (ACIS), que realizó el profesor Jeimy J. Cano, de la Universidad del Rosario, junto con Gabriela María Saucedo Meza, del Politécnico Internacional. En este participaron 176 empresas de diversos sectores, 98,86 por ciento de América Latina y 1,14 por ciento de España.

“En el IX Informe de Encuesta Latinoamericana de Seguridad de la Información (presentada en la XVII Jornada Internacional de Seguridad Informática), se nota que poco a poco los empresarios se han concientizado, al punto que en 2017 los responsables dependen un poco menos del área de tecnología y más de seguridad informática”, dice el profesor.

Visto de manera más amplia, según el tamaño de la empresa, el 5,07 por ciento de aquellas que tienen más de 5.000 empleados en promedio tienen de 6 a 10 personas dedicadas a la seguridad informática, mientras que el 8,7 por ciento de las pymes, que tienen de 200 a 500 empleados, escasamente de 1 a 5 personas.

Otro avance que vale la pena destacar está relacionado con presupuesto. Aunque solamente el 2,8 por ciento del sector de servicios financieros y banca destina entre el 3 por ciento y el 5 por ciento del presupuesto general para la seguridad y el 1,7 por ciento de las empresas de consultoría destinan entre el 9 y el 10 por ciento; del presupuesto proyectado para el 2017, el 7,39 por ciento destinan más de 130.000 dólares y el grueso, es decir el 5,68 por ciento entre 20.000 y 50.000 dólares. En términos generales se pasó de 55 por ciento de presupuesto asignado en el 2016 a 71,02 por ciento en el 2017.

Incidentes identificados y riesgos

En este estudio, una mirada a los incidentes identificados y notificados permite ver que el sector servicios financieros y banca reporta el 18,3 por ciento, educación el 15 por ciento y Gobierno - consultoría el 10,2 por ciento, y que los temas más detectados son caballos de troya (14,4 por ciento), instalación de software no autorizado (13,8 por ciento), Phising (11,2 por ciento), ´Ransomware´ (7,5 por ciento) e ingeniería social (6,1 por ciento).

Ahora bien, el 42,61 por ciento dice que tiene contactos con autoridades nacionales e internacionales para colaborar y recibir asistencia en caso de un ciberataque o incidente, es decir que conocen los protocolos; el 57,39 por ciento son conscientes de la importancia de la prevención y análisis; el 17,05 por ciento tiene una estrategia de descubrimiento electrónico y solo el 21,59 por ciento cuenta con un procedimiento aprobado e implementado para administrar evidencia digital.

Referente a riesgos de seguridad propiamente, ninguna de las empresas participantes los ve como un riesgo estratégico, sino que el 33 por ciento los asocia a riesgos operacionales, el 17,9 por ciento a riesgos legales, otro 17,9 por ciento a riesgos económicos, el 17,1 por ciento los identifica como riesgos reputacionales y el 11,9 por ciento como riesgos transversales.

Lo anterior tiene relación con el número de veces que hacen análisis de riesgos. Las empresas más juiciosas son las de consultoría, mientras que curiosamente el 7,39 por ciento de las de servicios financieros y banca hacen análisis 2 o 4 veces durante el año. El resto escasamente lo hace una vez.

“En resumen, actualmente hay un mayor conocimiento de los flujos de información, pero también una mayor brecha en habilidades gerenciales y hay mayor asignación presupuestal, aunque todavía es escasa. Todo esto, en el entorno inestable del que hemos hablado”, concluye el profesor de la Universidad del Rosario, Jeimy J. Cano.

La ventana de AREM

Este instrumento de apoyo a la gestión de riesgos y amenazas, probado ya en organizaciones, tiene la virtud de sacar a las empresas de su zona de confort en dicha gestión, para llevarlas a la dinámica de la realidad actual, cambiante e inesperada. Aquí no solo se advierten los riesgos conocidos, sino los latentes, focales y emergentes.

El resultado de la investigación del ingeniero Jeimy J. Cano, profesor de la Universidad del Rosario, ilustra los frutos de la aplicación de un instrumento que nació en el 2014 –producto de su experiencia en la industria financiera y de energía-, el cual fue implementado durante tres años en una importante empresa de la industria de energía.

La ventana de AREM (acrónimo de amenazas y riesgos emergentes) resulta de particular interés para las empresas que buscan una posición privilegiada a la hora de enfrentar riesgos conocidos y desconocidos en medio de este panorama de incertidumbre del entorno, de manera que puedan adelantar acciones pertinentes, capitalizar los aprendizajes necesarios y avanzar con la celeridad que demanda el agitado mercado digital actual.

Lo cierto es que aunque nunca se podrán anticipar todos los riesgos del ambiente, éste es un instrumento estratégico y táctico que repiensa la gestión de riesgos en las organizaciones. Su fundamento establece una lectura sistémica del entorno donde no solo se advierten los riesgos conocidos, sino que se introducen los latentes, focales y emergentes.

“En la empresa del sector energía que se implementó el modelo, el ´Ransomware´ que se convirtió en alerta mundial en mayo de este año ya había sido detectado como amenaza emergente en el 2015, de manera que en esta organización había pasado esta tendencia de riesgo emergente a latente, lo que significó en la práctica tener protocolos y anticiparse”, agregó el profesor.

Si quiere saber más sobre la investigación, haga clic aquí: http://www.urosario.edu.co/UCD/Colombia-no-esta-preparada-ante-un-ciberataque/


UNIVERSIDAD DEL ROSARIO

Sabemos que te gusta estar siempre informado.

Crea una cuenta y podrás disfrutar de:

  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta y podrás disfrutar nuestro contenido desde cualquier dispositivo.

CREA UNA CUENTA


¿Ya tienes cuenta? INGRESA