El tiempo que le lleva a los ciberdelincuentes para capturar la información de una organización de cualquier tamaño, ya sea privada o pública, ha pasado de 44 días en 2021 a tan sólo horas en este 2024 y amenaza con reducirse aún más, gracias al uso de herramientas de inteligencia artificial predictiva y generativa, que implican un desafío diario y mayúsculo para todo tipo de empresas y organismos de gobierno.
Mientras tanto, en América Latina sólo 38 por ciento de los directores de seguridad de informática de las organizaciones “creen que su estado de resiliencia cibernética es maduro”, aunque en el caso de México, apenas el 28 por ciento hacen pruebas regulares de sus planes de recuperación de información para el caso de ser atacados con éxito por la delincuencia cibernética.
Lo anterior se desprende del estudio realizado por IDC Research a pedido de la empresa de ciberseguridad Palo Alto Networks, según el cual, uno de los déficits más grandes por rama de industria en esta materia se encuentra en el sector financiero, donde apenas el 21 por ciento de los directores de seguridad informática hacen pruebas periódicas de sus planes de recuperación, a pesar de ser una de las industrias más reguladas.
Al presentar en conferencia de prensa el estudio, Daniela Menéndez, directora de Palo Alto Networks México, advirtió que 40 por ciento de las organizaciones “cree que está madura en materia de ciberseguridad y ciber resiliencia”.
Es decir, son en general empresas o entidades de gobierno, que cuentan con mecanismos para monitoreo de ataques y para responder a episodios donde se comprometa la seguridad digital, pero que en realidad, no prueban los sistemas de manera cotidiana y en la mayoría de los casos, suelen utilizar sistemas distintos para cada etapa que no se comunican entre sí.
En ese sentido, advirtió que el estudio demuestra que en México, “apenas el 32 por ciento de las empresas contempla a la resiliencia cibernética como misión crítica”, mientras los países mejor calificados en el mundo con respecto a este índice son Arabia Saudita, con 48 por ciento; España, con 44 por ciento; Brasil con 43 por ciento y Francia con 42 por ciento.
Más de la mitad de los encuestados (52 por ciento), reconoció que sus sistemas de seguridad cibernética no tienen “correlación”, es decir, que son productos digitales que se dedican a partes diferentes del espectro de seguridad digital, pero no están integrados en un solo cuerpo coherente que dé sentido a la capacidad de las compañías para gestionar riesgos; realizar mediciones de seguridad y eficiencia; y generar respuestas eficaces ante las amenazas, que son elementos centrales de la ciber resiliencia, la cual, en síntesis, se puede entender como la habilidad para anticipar y resolver las consecuencias de los ataques.
A este panorama se suma la escasez de talento especializado que, según Dula Hernández, ingeniera en sistemas de Palo Alto Networks, seguirá creciendo en el futuro, ante la mayor especialización y los nuevos retos que enfrentan todas las organizaciones del mundo en materia de ciberseguridad y donde la formación de especialistas resulta compleja, cara y poco productiva a muchas empresas “porque en cuanto capacitan al personal, éste busca nuevas oportunidades de trabajo”.
Además, así como la inteligencia artificial predictiva y generativa se utilizan para la ciberseguridad, la ciberdelincuencia también las emplea, de manera que cualquier control estrictamente dependiente de personas se ve rebasado por la creciente velocidad y agresividad con la que la delincuencia puede capturar a las organizaciones, hasta el punto de hacerlas inoperantes.
Destacó que según este estudio, el uso de controles de ciberseguridad maduros para la resiliencia cibernética es de solo el 11 por ciento y la mayoría depende en gran medida de planes de continuidad de negocio (74 por ciento); planes de recuperación ante desastres (72 por ciento); planes de recuperación de ransomware (54 por ciento) y estrategias de gestión de crisis (51 por ciento).
“En México, se prefiere dejar la responsabilidad de la resiliencia cibernética a un líder de unidad de negocios”, por ejemplo algún jefe de departamento o unidad, en lugar de dejarlo en manos de un director de sistemas, como ocurre en casi todo el resto del mundo.
Cabe señalar que según el informe Panorama Global de Ciberseguridad 2024 del Foro Económico Mundial, la brecha entre las organizaciones que pueden ser consideradas ciber resiliencia y las que aún no han tomado las medidas adecuadas, está aumentando.
Al igual que el informe de Palo Alto Networks, el del Foro Económico Mundial indica que existen desafíos en materia de personal calificado para atender los riesgos de ciberseguridad.
Según este último documento, “52 por ciento de las organizaciones públicas, considera las competencias y los recursos humanos como su mayor reto de ciber resiliencia”, aunque “el 15 por ciento de las organizaciones confían en que sus ciber capacidades y formación mejorarán en los próximos dos años”.
Respecto a las posibilidades de las Mipymes para defenderse de los ciberataques que necesariamente enfrentarán más tarde o más tempano, Dula Hernández recomendó que este tipo de empresas contraten servicios de ciberseguridad que manejen proveedores externos, porque de lo contrario no podrían asumir los costos de establecer un sistema robusto propio.
C$T-GM