Un estudio elaborado por Marsh respecto a la Gestión del riesgo cibernético en el sector financiero latinoamericano 2023 resalta la gestión de este tipo de riesgo se ha convertido en una prioridad crítica para el sector financiero en un mundo cada vez más digitalizado; de tal manera que las organizaciones se enfrentan a amenazas cibernéticas que aumentan en sofisticación y frecuencia, y que ponen en riesgo la seguridad de la información, la continuidad del negocio y la confianza de los clientes.
Ante esta realidad, agrega, es fundamental adoptar enfoques que permitan gestionar los riesgos de seguridad de la información y ciberseguridad de manera efectiva. La buena noticia es que las empresas han comprendido que para que esa gestión sea efectiva, es necesario tener una visión más clara de su exposición al riesgo, que les permita tomar decisiones informadas sobre la inversión en seguridad y priorizar medidas de protección.
Para llegar a esa meta, los resultados de la encuesta referida le permitieron a Marsh identificar cómo las empresas, a través de la implementación de diferentes tipos de metodologías de gestión de riesgo, han logrado entender cuál es su exposición al riesgo, aunque en ese camino, algunos retos y desafíos los han hecho entender la relevancia de mejorar y madurar estos procesos.
A continuación, Marsh menciona los principales hallazgos:
Panorama del riesgo cibernético en el sector financiero
En cuanto a la evaluación del riesgo de seguridad de la información y ciberseguridad, la firma autora del documento confirma que se ha presentado un aumento en la sofisticación y frecuencia de los ataques cibernéticos en el sector financiero. Los ataques de ingeniería social siguen siendo una de las amenazas más comunes y efectivas, y que más han afectado a las organizaciones encuestadas.
Se percibe entre los encuestados que adicional a los ataques de ingeniería social, los ataques de malware y, particularmente, ransomware, fraude por medios electrónicos, y ataques a través de proveedores y terceros, se seguirán incrementando en los próximos años, subraya Marsh.
Evaluación del riesgo de seguridad de la información y ciberseguridad
De acuerdo con lo que explica Mars, el uso de metodologías de análisis cualitativo y semicuantitativo para el análisis y evaluación de riesgos de seguridad de la información y ciberseguridad, siguen siendo las más utilizadas por las organizaciones. Sólo 28 por ciento de los encuestados informan que usan metodologías cuantitativas.
Asimismo, 64 por ciento de las empresas que utilizan metodologías cualitativas, y 44 por ciento de las que utilizan metodologías semicuantitativas han considerado cambiarlas debido a que:
- No se puede determinar el valor de la pérdida esperada para los riesgos evaluados.
- Las escalas utilizadas en metodología de análisis de riesgos son subjetivas.
- Los resultados de los análisis de riesgos son insuficientes para la toma de decisiones.
Por otra parte, Marsh señala que 71 por ciento de las organizaciones que cuentan con metodologías cuantitativas indican que los resultados arrojados por este tipo de metodologías les ha permitido:
- Aprobación de grandes iniciativas y proyectos en seguridad de la información y ciberseguridad.
- Priorización de recursos de mitigación de riesgos según el impacto en el negocio de los riesgos evaluados.
- El 78 por ciento de los encuestados indicaron que les ha permitido la contratación de personal adicional.
Adicionalmente, 57 por ciento de las organizaciones que cuentan con metodologías cuantitativas indicaron que, con base en los resultados obtenidos de la ejecución de esta metodología, se ha modificado el presupuesto destinado a ciberseguridad; y el 43 por ciento ha contratado un seguro de riesgo cibernético
Dentro de las principales retos y dificultades en la gestión de riesgos Marsh indica que hay tres: falta de conocimiento de las personas sobre gestión de riesgos., desconocimiento, por parte de los empleados, de la metodología de análisis de riesgos de la organización y desconocimiento de los valores estimados de los activos críticos de la organización.
En cuanto a los retos de la cuantificación de riesgos, Marsh destaca que 57 por ciento de los encuestados confirmaron que carecen de información histórica, ya sea porque los riesgos analizados no han ocurrido en la empresa o porque hay muy pocos datos de los incidentes que se analizan a nivel global. El 36% indicó que hay ausencia de datos para definir los rangos de cuantificación.
Finalmente, Marsh refiere que, si bien los beneficios de cuantificar los riesgos y conocer la exposición al riesgo en las empresas son bastantes, cuando las organizaciones han tomado la decisión de implementar metodologías de cuantificación de riesgos, han enfrentado algunos retos y desafíos como son:
- Capacidad y experiencia en análisis cuantitativo: las organizaciones pueden enfrentar desafíos para adquirir y desarrollar capacidades internas de análisis cuantitativos, estadísticas y modelado de riesgos.
- Los resultados obtenidos a través de metodologías cuantitativas pueden ser complejos y requieren una adecuada interpretación y comunicación. El 36% de los encuestados confirmaron que los resultados son difíciles de interpretar por parte de los stakeholders, y que los valores asociados con la pérdida esperada de los riesgos evaluados se consideran demasiado altos para la organización.
- Interpretación y comunicación de resultados: La adopción de metodologías de cuantificación de riesgos puede requerir inversiones en términos de recursos financieros, tecnológicos y humanos.