Las empresas peruanas no están preparadas para un nuevo ciberataque
El 47% de las empresas peruanas indican tener poca probabilidad de detectar un ataque cibernético sofisticado, siendo el uso de software malicioso (“malware”), “phishing”, ciberextorsiones y robo de información confidencial los ataques cibernéticos más comunes. Esta situación ha hecho sonar las alarmas a nivel global, mientras que en el Perú solo el 9% de las empresas consideran probable que su organización detecte un ataque sofisticado a tiempo. EY Perú presentó estas y otras cifras en su Encuesta Global de Seguridad de la Información 2017-2018.
Entre los resultados de la encuesta, Elder Cama, Socio de Consultoría de EY Perú destaca lo que se puede inferir de ellos. Por ejemplo, a nivel global, las empresas consideran que la fuente más probable de un ataque cibernético sea un colaborador descuidado (77%) o un colaborador malicioso (47%). Mientras que a nivel Perú los porcentajes fueron 62% en ambos casos. Sin embargo, en otras partes del mundo las empresas consideran a los carteles criminales como la segunda fuente más probable de ataque (56%). En el Perú está figura es casi inexistente (3%), por lo que es importante pensar en prevención.
Resulta sorprendente que solo el 4% de las empresas globales (3% en el Perú) se sientan seguras de haber considerado plenamente las implicancias de seguridad de la información de su estrategia actual, y de haber incorporado y monitoreado en su panorama de riesgos las amenazas y riesgos cibernéticos correspondientes.
“Si comparamos esta cifra con los presupuestos que han asignado las empresas a la seguridad de la información en los próximos 12 meses, no sorprendería esta preocupación. Solo el 14% de las firmas globales encuestadas afirma que incrementará su presupuesto en más del 25% y en el Perú el 6% pero el 87% global y el 92% local señala que necesita hasta 50% más de presupuesto en ciberseguridad”, señaló Elder Cama, Socio de Consultoría de EY Perú.
También, se preguntó acerca de la probabilidad que tiene la organización para detectar un ataque sofisticado de este tipo. A nivel global el 44%, y a nivel nacional el 47%, declararon tener pocas probabilidades de detectarlo. Entre los principales motivos que dificultan la efectividad de los sistemas de seguridad están la falta de recursos especializados y las restricciones de presupuesto. El 78% de encuestados a nivel Perú manifestaron que se gasta menos de 1 millón de dólares en los controles de seguridad de información.
“Sin personal calificado, herramientas técnicas ni presupuestos adecuados, será difícil para las empresas mejorar su nivel de prevención y mitigación de riesgos de Seguridad de la Información. El primer paso para proteger la empresa de un ataque cibernético es conocer qué es lo que se desea proteger en específico. Los activos críticos aquí son la propiedad intelectual, la información personal, información financiera e información del negocio junto con estrategias, desempeño y transacciones. Se debe hacer un balance entre costo, riesgo y valor para analizar el mejor camino de protección contra riesgo cibernético. Uno debe preguntarse si la mejora del sistema de seguridad nos hará competitivos, protegerá los activos importantes de la empresa y habilitara nuevas iniciativas para el negocio”, señaló el experto en ciberseguridad.
