Las tecnologías de la información y la comunicación (TIC) transforman de manera drástica el entorno empresarial global, y amplía la gama de riesgos interconectados y en cambio constante, como es el caso del riesgo cibernético.

La encuesta de percepción del riesgo cibernético 2019 publicada por Marsh, una empresa consultoría de riesgos y seguros global, y Microsoft, el mayor fabricante mundial de software, recoge las respuestas de más de 1.500 empresas a nivel global, 531 de ellas en América latina, sobre su visión del riesgo cibernético.

Según la encuesta, a la que accedió iProfesional, en la Argentina el 64% de las organizaciones ahora clasifican el riesgo cibernético como una de sus cinco principales preocupaciones, en comparación con el 50% registrado en el 2017. Aun así, una de cada 10 organizaciones lo consideran su riesgo número uno.

El nivel de confianza en su capacidad para enfrentar el riesgo cibernético aumentó a un 75%, de los cuales, el 54% se sienten confiados y el 21% muy confiados. Sin embargo, el 26% de las empresas en el país desconfía totalmente de su capacidad para responder a un evento cibernético.

En cuanto a las áreas responsables de gestionar el riesgo cibernético dentro de una organización, el 77% de los encuestados identificaron al área de tecnología y seguridad de la información como la principal responsable, seguido de la junta directiva (57%) y la gerencia de riesgos (32%).

Más del 40% de los altos ejecutivos y miembros de la junta directiva mencionaron que dedicaron pocos días en el último año enfocándose en el tema, mientras que un 45% dedico sólo algunas horas o menos.

Al mismo tiempo, las organizaciones continúan con la adopción de nuevas tecnologías, pero no están seguras de los riesgos que conllevan. Un 79% de los encuestados dijeron que están adoptando o están considerando adoptar nuevas tecnologías como la nube informática, robótica o inteligencia artificial. Un 69% dicen que evalúan el riesgo cibernético tanto antes como después de la adopción; el 13% no evalúa el riesgo en absoluto.

Una de cada tres organizaciones encuestadas cuantifica el impacto económico del riesgo cibernético, una de cada cuatro compañías encuestadas lo evalúa después de un ataque. Esto puede deberse a la falta de experiencia en la organización con respecto a estas metodologías, a la falta de recursos (tiempo y dinero), o al hecho de que muchas compañías consideran aún las amenazas cibernéticas como un problema tecnológico más que como un riesgo estratégico

La encuesta menciona que el 56% de la inversión en riesgo cibernético para los próximos tres años estará centrada en tecnología y mitigación, pero no en el conjunto de los elementos que crean resiliencia frente a este riesgo creciente y cambiante.

Edson Villar, líder regional para América latina en consultoría de riesgo cibernético de Marsh, mencionó que "las empresas están siendo cada vez más conscientes de este problema, pero todavía no están priorizando sus recursos en crear verdadera resiliencia, es decir, en identificar, cuantificar, mitigar, transferir y planificar su respuesta en caso de un incidente".

De acuerdo con la encuesta, el 70% de las organizaciones consultadas mencionan que uno de los principales detonantes para el incremento en la inversión de ciberseguridad son los ataques cibernéticos.

"La dura realidad a la que las organizaciones deben enfrentarse es que el riesgo cibernético no se puede eliminar, por lo tanto, debe gestionarse de forma estratégica desde el primer nivel de la organización", advirtió Villar.

Parte de una estrategia eficiente de gestión del riesgo cibernético, es la transferencia al mercado asegurador. Según la encuesta, en América latina crece el número de empresas que cuentan con un seguro cibernético, aunque la región todavía está lejos de la media global: 29% vs. 47%. En el caso de las grandes empresas, el porcentaje de penetración del seguro cibernético crece hasta el 40%.

Para Paulina Vélez, líder regional para América latina en seguro de riesgo cibernético de Marsh, "resulta preocupante que a nivel" de la región n "más de un 70% de las organizaciones encuestadas no cuentan con un seguro cibernético que les permita enfrentar un ataque o incidente de este tipo, lo cual podría impactar de forma crítica la resiliencia operacional, por eso la transferencia es esencial".

Con cadenas de suministro digitales cada vez más interdependientes, el riesgo cibernético debe convertirse en una responsabilidad colectiva. "En la era de la transformación tecnológica y de cadenas de suministro más interconectadas, las prácticas y la mentalidad de gestión del riesgo cibernético de antes ya no son suficientes y en realidad podrían inhibir la innovación", dijo Joram Borenstein, gerente general del grupo de soluciones de seguridad cibernética de Microsoft.

Puntos destacados

* 64% considera el riesgo cibernético como una de las cinco principales preocupaciones para su organización (vs 50% en 2017). Para el 14% es su amenaza número 1.

* El nivel de confianza en su capacidad para enfrentar el riesgo cibernético aumentó, pero es clave resaltar que una de cada cuatro empresas aún desconfía totalmente de su capacidad para responder a un evento cibernético.

* Una de cada tres organizaciones encuestadas cuantifica el impacto económico del riesgo cibernético.

* Tres de cada cuatro organizaciones evalúa el riesgo cibernético después de un ataque.

* 56% de la inversión en los próximos tres años para gestionar el riesgo cibernético estará orientada a tecnología y mitigación, no en resiliencia.

* Crece el número de empresas que cuentan con un seguro cibernético. Lejos todavía de la media global: 29% vs 47%.