Casi un 79% de las compañías en México asegura haber detectado un incidente de ciberseguridad en los últimos 12 meses, de acuerdo con los resultados del estudio GSISS 2018 de PwC.
Aunque la cifra es superior a la registrada a nivel mundial (72.2%), la encuesta muestra una mejora considerable con respecto a lo detectado en 2017, tanto en México (87%) como a nivel mundial (74%).
Falta estrategia, no programas de respuesta
Esta reducción en la tasa de detección de incidentes contrasta con la falta de estrategia general en materia de ciberseguridad.
A nivel global, el 44% de los encuestados carece de la misma, el 48% declaró no contar tampoco con programas de capacitación para concientizar al empleado, mientras que un 54% indicó que tampoco existen procesos de respuesta a incidentes.
En el caso de México, el porcentaje de empresas sin planes generales en materia de ciberseguridad coincide con la mundial (44%). No obstante, el 71.4% aseguró contar con programas de respuesta a incidentes, una reducción considerable con respecto a 2017, cuando un 87% de las empresas mexicanas afirmaba tener este tipo de soluciones.
De estos, el 70% cuenta con tecnología de la información y operacional, mientras que un 50% cuenta con un centro de operaciones de seguridad y un 40% realiza supervisión activa 24 horas al día los siete días de la semana.
Amenazas externas e internas
Según los encuestados mexicanos, las mayores amenazas externas a la seguridad de la información son los hackers (34.9%), la competencia (27.2%) y el crimen organizado (24.1%).
En cuanto a las internas, destacan: los exempleados (35.4%) y los antiguos proveedores (27.5%).
En 2017, las principales fuentes de incidentes de seguridad fueron los empleados (44.5%), seguido de los hackers (34.3%) y competidores (31.2%). Es decir, continúan siendo los mismos los principales perpetradores, aunque han disminuido los fraudes cometidos por exempleados, hackers y antiguos proveedores, mientras que han aumentados aquellos causados por competidores, empleados actuales y crimen organizado.
Aumento de la inversión
A nivel global, las compañías destinaron un monto promedio de 5.13 millones de dólares del presupuesto de Tecnologías de la Información (TI) a seguridad, un 1.4% más que en 2017 (5.06 mdd en 2017). Esta inversión equivale –en promedio- al 4.1% de esta inversión total.
En Latinoamérica y México, el presupuesto de seguridad de la información se redujo un 8.2% y un 15.3%, respectivamente.
En el caso de nuestro país, la cantidad invertida en 2018 ascendió a los 4.2 millones de dólares (5 millones de dólares en 2017), el 5.1% del presupuesto promedio (3.9% en el ejercicio pasado). Es decir, aunque en México se redujo la inversión en TI, aumentó el porcentaje destinado a seguridad.
Tecnología, un factor en pro de la confianza
En 2018, el 66% de los encuestados mexicanos afirmó que el uso de las tecnologías avanzadas de autenticación ha mejorado la confianza de clientes y socios. Además, el 56% declaró que estas les han ayudado a reducir el fraude, mientras que el 52% confirmó que mejoró la experiencia con el cliente.
Las principales tecnologías de autenticación que se están implantando en México son, en este orden: la autenticación por múltiples factores (48.8%), las llaves criptográficas (43.9%) y los tokens en teléfonos (43.7%).
En los próximos 12 meses, las compañías apostarán por otras soluciones, como los sistemas biométricos (65.8%), los soft tokens (64.9%) y las identificaciones oficiales (63.7%).
En 2017, las tecnologías más usadas fueron: biométricos (71%), soft tokens (68.2%) y los hard tokens (67.2%). En los siguientes doce meses, los encuestados aseguraban el pasado año que implementarían los múltiples factores de autenticación (48%), los tokens en teléfonos (45.9%) y las llaves criptográficas (37.2%), lo cual, comparando las cifras actuales, vemos que se ha conseguido.
Ciberseguridad y privacidad, como parte de la estrategia de administración de riesgos
En México, el 40% de los encuestados aseguró que la junta directiva de sus compañías participa directamente en la supervisión de riesgos cibernéticos y relativos a la privacidad.
Por otro lado, el 65% afirmó que su organización cuenta con un Chief Privacy Officer (CPO) o un ejecutivo de nivel similar a cargo de estos temas.
A nivel global, el porcentaje es ligeramente superior (68%). No obstante, el 24% de los ejecutivos de nuestro país no está considerando contratar a un CPO como encargado de cumplimiento de temas relacionados con la privacidad.
