Resiliencia cibernética en México: de la ilusión a la madurez

De acuerdo con un estudio encargado a IDC Research por Palo Alto Networks, solo el 38% de los directores de seguridad de la información (CISO) en EMEA (Europa, África y Medio Oriente) y Latinoamérica creen que su estado de resiliencia cibernética es maduro. La investigación encontró que solo el 28% de los CISO en México prueban regularmente sus planes de recuperación; sin embargo, el 40% de las organizaciones de EMEA y LATAM confían en su capacidad para superar un ciberataque sin grandes interrupciones. Destaca la necesidad de desarrollar iniciativas estratégicas y desafiar los conjuntos de herramientas existentes para mejorar las posturas de ciberseguridad.

Sorprendentemente, sólo el 21% de los CISO de la industria bancaria, servicios financieros y de seguros prueban periódicamente planes de recuperación, una de las tasas más bajas en todos los sectores verticales, a pesar de ser uno de los más regulados. Sin embargo, con los niveles de amenaza y la complejidad del mercado en aumento, los CISO tienen una tarea difícil.

Otro de los hallazgos del estudio es la escasez de talento y la falta de habilidades emergentes en tecnología de seguridad que se ubican como los principales desafíos para lograr la resiliencia cibernética, ambos citados por el 70% de los encuestados, seguidos por la falta de correlación entre múltiples productos (52%).

Los resultados muestran cómo, a pesar de que el 78% de las organizaciones en EMEA y LATAM reconocen la importancia de la resiliencia cibernética, la fragmentación y la demanda de recursos impiden que las aspiraciones se alineen con la realidad.

Daniela Menéndez, Country Manager de Palo Alto Networks México, comenta: “A pesar de los niveles moderados de madurez en EMEA y LATAM, es sorprendente ver cuán pocos CISO están equipados para probar periódicamente sus planes de recuperación. Sin embargo, los CISO se enfrentan a una batalla cuesta arriba. Por un lado, los acontecimientos geopolíticos y la interrupción de la cadena de suministro aumentan el nivel de amenaza, mientras que, por otro, la escasez de talento y experiencia relevante hace que la implementación de soluciones y la preparación para contrarrestar ataques futuros sean cada vez más desafiantes”.

La investigación descubrió pocas diferencias entre los mercados de Europa, América Latina y Medio Oriente. Esto muestra un consenso en que la resiliencia cibernética es una misión crítica para las empresas. Los mercados donde la resiliencia cibernética es la mayor prioridad incluyen el Reino de Arabia Saudita (48%), España (44%), Brasil (43%) y Francia (42%). Es menos probable que algunos mercados europeos, incluidos Alemania y el Reino Unido, lo consideren una prioridad comercial; por su lado, en México solo el 32% lo contempla como prioritario.

La fragmentación no es el único reto, pues la investigación destacó también una serie de desafíos tecnológicos. El uso de controles de ciberseguridad maduros para la resiliencia cibernética es de solo el 11%; algunos países de EMEA lo califican entre 0% y 5%, y la mayoría depende en gran medida de planes de continuidad del negocio (74%), planes de recuperación ante desastres (72%), planes de recuperación de ransomware (54%) y estrategias de gestión de crisis (51%). En México se prefiere dejar la responsabilidad de la resiliencia cibernética a un líder de la unidad de negocios, lo cual difiere de la mayoría de los mercados encuestados, donde se prefiere a los CIO.

Bert Millan, RVP para América Latina y el Caribe de Palo Alto Networks, agrega: “Muchas organizaciones aún no tienen los recursos y la confianza para implementar una tecnología de resiliencia cibernética diseñada para prevenir ataques. Por ejemplo, en Brasil, el 43% de las organizaciones considera la resiliencia cibernética como una máxima prioridad, el segundo porcentaje más alto del mundo. Este número disminuye en México al contar solo con 32%. Esta falta de visibilidad del impacto de las amenazas y el enfoque en la resolución está dejando a las organizaciones expuestas a más amenazas e incapaces de planificar para futuros riesgos”.

La investigación refleja el deseo de hacer un cambio cultural en torno a la resiliencia cibernética, y la influencia de los altos directivos se vuelve cada vez más importante. El 72% de los encuestados dijo que los miembros de la junta directiva son el principal impulsor del enfoque de la organización en la resiliencia cibernética, por encima de los imperativos regulatorios (70%).

Finalmente, IDC y Palo Alto Networks coinciden en que es vital que exista un compromiso claro de la alta dirección para crear y mantener políticas claras de ciberseguridad y medir el impacto, así como empoderar a los mandos intermedios para tomar decisiones más rápidas. La responsabilidad de reaccionar ante los incidentes recae en los equipos de ciberseguridad, en lugar de capacitar a la empresa para desarrollar mejores posturas.