Más allá del phishing: las verdaderas amenazas de la seguridad de las empresas en México

Para las empresas actualmente es fundamental incorporar un sistema de gestión de seguridad de la información (ISMS, por sus siglas en inglés) para mejorar la seguridad de su información, indistintamente de que les afecten o no los requisitos legales como las próximas directivas NIS-2 o DORA. A pesar de que el 74 % de los especialistas en TI y ciberseguridad mexicanos entrevistados para el estudio “OTRS Spotlight: Seguridad Corporativa 2024” ya cuentan con un sistema ISMS, en muchos casos no han logrado integrar por completo herramientas y procesos importantes. Tres cuartas partes de las empresas en México indica que carecen de capacitación en seguridad, 68 % carecen de una integración total de gestión de activos, el 67 % indica que las soluciones de gestión de dispositivos móviles (MDM) y gestión unificada de puntos finales (UEM) y la gestión de parches no se ha integrado por completo; asimismo, el 64 % señala que les falta auditoría y reportes de cumplimiento. 

Para este estudio, la compañía de software OTRS Group, en colaboración con la empresa de investigación de mercado, Pollfish, entrevistaron a 476 profesionales de TI y ciberseguridad, incluidos 100 en México.

Necesidades: Herramientas para simplificar la integración de gestión de activos

El 63 % de los equipos de seguridad en el país se quejan con mayor frecuencia de la complejidad de la integración como el mayor obstáculo para incorporar por completo la gestión de activos (tan importante para la gestión de riesgos) en sus procesos y herramientas ISMS. La inconsistencia de datos (40 %) y la sincronización rezagada de datos (39 %) ocupan el segundo y tercer lugar entre los obstáculos más grandes. 

Claramente, existe una gran necesidad de herramientas que permitan a los equipos de seguridad integrar de manera sencilla y transparente la gestión de activos en su entorno ISMS. Un vistazo a aquellas empresas que ya la han implementado lo confirma: utilizan principalmente software dedicado de gestión de activos (54 %) o herramientas de integración especializadas (29 %) para este propósito. Sólo el 13 % implementa la integración utilizando sus propios scripts y API, y sólo el 4 % transfieren y sincronizan los datos manualmente. 

Gestión de dispositivos: Personal insuficiente para tantos dispositivos 

Otro desafío que enfrentan los equipos de seguridad para garantizar la seguridad de la información en su empresa y, por lo tanto, cumplir los requisitos legales, consiste en aplicar las directrices de seguridad en todos los dispositivos. La variedad de dispositivos y sistemas operativos (40 %) está generando un problema para las empresas, el 29 % señala que existe una insuficiencia de herramientas de monitoreo y gestión de dispositivos y 27 % presenta dificultades en el tema de la gestión de dispositivos en entornos de trabajo móviles o híbridos, a esto se añade la falta de automatización (30 %) que también representa un reto a vencer. Esto se ve a menudo agravado por la escasez de personal o recursos de TI (32 %), que son necesarios para llevar a cabo estas tareas. 

Además, el 91 % de las empresas mexicanas encuestadas ya utilizan dispositivos habilitados para inteligencia artificial (IA), lo que abre nuevas puertas a posibles riesgos de seguridad de datos. Los equipos de seguridad están intentando contrarrestar esto mediante la utilización de servidores seguros (44 %) para el procesamiento de datos. Casi la misma cantidad (42 %) implementa políticas estrictas de uso para este propósito y una tercera parte (34 %) utiliza la capacitación de los empleados en el manejo seguro de datos para gestionar los riesgos y cumplir con las regulaciones de protección de datos cuando utilizan dispositivos habilitados para IA. Sólo el 16 % utiliza gestión de dispositivos móviles (MDM, por sus siglas en inglés) o gestión unificada de terminales (UEM, por sus siglas en inglés) para desactivar o restringir las capacidades de IA.

Los empleados se preocupan por la seguridad de los dispositivos

Por otra parte, después de las inquietudes sobre correos electrónicos sospechosos o intentos de posibles ataques de phishing, los dispositivos y su uso y seguridad son algunas de las razones más comunes por las que los empleados se comunican con sus equipos de seguridad. El 39 % de los participantes de México reciben con frecuencia o mucha frecuencia preguntas sobre la legitimidad del software o de las descargas/actualizaciones de aplicaciones. El 27 % afirma que reciben con frecuencia o mucha frecuencia consultas debido a preocupaciones sobe los dispositivos personales que utilizan para trabajar.  

Los dispositivos ocasionan más riesgos y daños que los correos electrónicos de phishing 

En México, los informes sobre dispositivos perdidos o robados con datos confidenciales también mantienen alerta a los equipos de seguridad: el 20 % los reciben con frecuencia o mucha frecuencia. En tales casos, los equipos deben actuar de manera especialmente rápida y eficaz porque, según los participantes en la encuesta, la pérdida de un dispositivo también representa uno de los problemas más riesgosos o dañinos para su organización. El 35 % afirma que los dispositivos con datos confidenciales extraviados o robados han causado daños o riesgos graves o significativos a su organización en el pasado. 

Las vulnerabilidades o archivos corruptos en los sistemas y dispositivos de la empresa (36 %) también han ocasionado daños o riesgos graves o significativos con mayor frecuencia en el pasado que los correos electrónicos de phishing (34 %). 

“Las compañías ahora tienen cada vez más dispositivos y terminales que administrar debido al trabajo desde casa, el trabajo móvil y la creciente digitalización en todos los sectores. Para los equipos de seguridad, esto también implica más riesgos y superficies de ataque que deben proteger —en muchos casos, de manera remota—”, explicó Jens Bothe, vicepresidente de Seguridad de la Información en OTRS Group. “Para asegurar que las empresas cuenten con los recursos necesarios, tanto en términos de personal como de soluciones de software, todos los empleados, desde el director hasta el representante de servicio al cliente, deben estar al tanto de los riesgos económicos que cada dispositivo adicional conlleva” finalizó.