CÓMO AFRONTAR AMENAZA U OPORTUNIDAD: HLB CYBERSECURITY REPORT 2021
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
AMENAZA U
OPORTUNIDAD:
CÓMO AFRONTAR
EL PANORAMA
DEL RIESGO
CIBERNÉTICO EN
LA ERA DEL
TRABAJO HÍBRIDO
HLB CYBERSECURITY REPORT 2021
www.hlb.global
2 HLB CYBERSECURITY REPORT 2021 HLB CYBERSECURITY REPORT 2021 3
Conforme salimos de los cierres CONTENIDO
de emergencia y las restricciones
del Gobierno ocasionadas por la
DE LA CONTINUIDAD
COVID-19, más empresas en todo EMPRESARIAL A LA CIBERSEGURIDAD:
el mundo están adoptando los AYER Y HOY 04
modelos híbridos de trabajo. Al GESTIÓN DE LOS RIESGOS
CIBERNÉTICOS: EL TRABAJO
hacerlo, la dirección de tecnología HÍBRIDO ES EL FUTURO LABORAL 06
y la gerencia de TI enfrenta EL PERSONAL SE ENCUENTRA
mayores riesgos y vulnerabilidades EN EL NÚCLEO DE LA
CIBERSEGURIDAD DE SU EMPRESA 10
a los ciberataques y las filtraciones
EL FORTALECIMIENTO DE
de datos. SU ESTRATEGIA DE GESTIÓN
DE LOS RIESGOS CIBERNÉTICOS 13
En vista del Mes de la Conciencia sobre
Ciberseguridad 2021, encuestamos a 136 UNA CONVERSACIÓN HONESTA: CÓMO
AFRONTAN LOS(AS) DIRECTORES(AS)
profesionales de TI y entrevistamos a expertos(as)
DE TECNOLOGÍA LOS DESAFÍOS DE
de ciberseguridad de HLB acerca del panorama CIBERSEGURIDAD 16
actual de riesgo cibernético, las lecciones que
se aprendieron en los cierres de emergencia y LA CIBERSEGURIDAD:
el camino a seguir para los(as) directores(as) LA OPORTUNIDAD FRENTE
de tecnología para protegerse contra el crimen A LA AMENAZA 18
cibernético en la era del trabajo híbrido.
PASOS SIGUIENTES:
ASEGURAR EL FUTURO 19
CONTÁCTENOS 20
4 HLB CYBERSECURITY REPORT 2021 HLB CYBERSECURITY REPORT 2021 5
DE LA CONTINUIDAD EMPRESARIAL A LA
CIBERSEGURIDAD: AYER Y HOY
En 2020, los(as) líderes se El 53 % de las personas participantes en la “LA PANDEMIA CAMBIÓ LA FORMA EN LA
encuesta HLB de 2020 1 indicó que estaban
centraron en implementar al tanto de actividades inusuales y ataques QUE VEMOS LA CIBERSEGURIDAD Y LOS
tecnologías y lograr que cibernéticos desde el inicio de la pandemia. En PROTOCOLOS, E IMPULSÓ EL TRABAJO A
consecuencia, la prioridad principal en el 2020
el personal se mantuviera fue realizar una evaluación interna de riesgos.
DISTANCIA. EL 81 % DE LOS ENCUESTADOS
trabajando, aunque fuera a DIJERON QUE CAMBIARON ALGO, ES OBVIO
distancia. Esto requirió migrar a la QUE MÁS PERSONAS SINTIERON QUE FUE
computación en la nube, asegurar Un año después, los ciberataques continúan en MOMENTO DE TOMAR ESTO CON SERIEDAD”.
aumento y las empresas siguen enfrentando
una conexión de alta velocidad la interrupción que causó la COVID-19. Ahora Jim Bourke, Líder Global de Asesoría de HLB
y dispositivos adecuados para el los(as) empleados(as) se encuentran en un
modelo híbrido de trabajo, mientras que los(as)
personal La ciberseguridad era líderes pasaron de la reacción a la acción
importante, pero el primer paso preventiva. En vez de evaluar y arreglar los
era implementar con éxito el problemas de seguridad conforme ocurren, la
mayoría de directores de tecnología aseguran
trabajo a distancia. en la encuesta HLB 2021 que ahora dan
prioridad al desarrollo de un plan de respuesta
a los incidentes.
1 HLB International, 2021. HLB Cybersecurity Report 2020: Navigating the cyber-risk landscape in the age of remote working
6 HLB CYBERSECURITY REPORT 2021 HLB CYBERSECURITY REPORT 2021 7
FIGURA 1: NIVELES DE PREPARACIÓN PARA EL MODELO DE
TRABAJO HÍBRIDO
12%
P: ¿EN QUÉ MEDIDA ESTÁN PREPARADOS SUS PROTOCOLOS EN
TORNO A LA INFRAESTRUCTURA DE TI Y LA CIBERSEGURIDAD
PARA UN MODELO DE OPERACIÓN HÍBRIDO?
NADA PREPARADOS. NUESTRO PERSONAL TODAVIA TRABAJA DESDE LA
OFICINA DE NUESTRAS INSTALACIONES Y LO HACE EN UN MODELO DE
44% SEGURIDAD DE PERIMETRO CORPORATIVO.
ALGO PREPARADO. UTILIZAMOS NUEVA TECNOLOGIA COMO SOPORTE
PARA NUESTRO PERSONAL A DISTANCIA Y EN LA OFICINA DE NUESTRAS
INSTALACIONES.
GESTIÓN DE LOS RIESGOS CIBERNÉTICOS: EL 44%
BIEN PREPARADOS. IMPLEMENTAMOS EL TRABAJO HIBRIDO Y CAMBIAMOS
TRABAJO HÍBRIDO ES EL FUTURO LABORAL
NUESTRA INFRAESTRUCTURA TECNOLÓGICA PARA CONTAR CON UNA
ARQUITECTURA DE CERO CONFIANZA.
La COVID-19 derribó barreras culturales Los(as) directivos(as) ejecutivos(as) reconocen PROBLEMAS DE SEGURIDAD Y LUGARES DE AJUSTE DE LAS ESTRATEGIAS Y LOS
y tecnológicas que impedían el trabajo las oportunidades de un modelo de trabajo TRABAJO HÍBRIDOS PROTOCOLOS DE CIBERSEGURIDAD
a distancia en el pasado, lo cual puso en híbrido: desde la reducción de los costos En una anterior encuesta de líderes Mientras que las compañías desean retener
movimiento un cambio estructural para cada de bienes raíces, hasta la retención del empresariales5, preguntamos a los(as) el talento al ofrecer flexibilidad, también
empresa. Las personas participantes en nuestra personal. Pearl Meyer4 observó que casi “el directivos(as) la medida en la que les necesitan proteger a sus empresas de las
encuesta de 2021 hicieron cambios para 40% de las empresas informaron tener mayor preocupaban los riesgos de su negocio ciber amenazas. Para hacerlo, la mayoría de
apoyar el trabajo híbrido del personal. El 44% productividad y casi el 50% no informó ningún relacionados con los problemas de las personas participantes en la encuesta HLB
indicó que se siente bien preparada para el cambio”. ciberseguridad. Aunque el 47 % sentía de 2021 indicó que alteró sus estrategias y
trabajo híbrido y otro 44% indicó que se siente preocupación o mucha preocupación, protocolos de ciberseguridad. El 43% mencionó
preparada en cierta medida. Para 2022, Gartner estimó que “el 31% del
destacaron múltiples problemas desde que los cambió en cierta medida y el 39%
personal en el mundo entero trabajará a
diferentes perspectivas como las consecuencias informó que los cambió de forma drástica.
distancia (una combinación de trabajo híbrido
De acuerdo con McKinsey & Company2, desde de la COVID-19, la inestabilidad económica y Solo el 17% aseguró no haber realizado ningún
y completamente a distancia)”. Este estimado
2019 el número de personas que desean geopolítica, y la interrupción de la cadena de cambio desde el inicio de la pandemia.
varía según la ubicación, dentro del cual, el
trabajar desde las instalaciones de su empresa suministro.
personal que trabaja a distancia representa el Estos resultados son equivalentes a los
disminuyó 25%, mientras que es probable que 53% de la fuerza laboral en EE. UU., el 52% en Aunque estos temas son válidos, los datos de la encuesta de 2020, en la que el 88%
el 30% cambie de trabajo si se le obliga a Europa y el Reino Unido, el 37% en Alemania, demuestran que la ciberseguridad debería ser indicó que cambió sus políticas y planes de
volver completamente a las instalaciones. el 33% en Francia, el 30% en India y el 28% en una prioridad, especialmente en los lugares ciberseguridad. Sin embargo, el número de
China. de trabajo híbridos. De acuerdo con McAfee6, participantes que indicó que los cambió de
En nuestro sector, con personal altamente
capacitado y calificado, las investigaciones3 el número de “amenazas de agentes externos forma drástica aumentó un 14% en 2021.
Sin embargo, una fuerza laboral de trabajo
muestran que más del 20% de la fuerza dirigidos a los servicios de la nube aumentaron
híbrido requiere de entornos adaptables. Los De las personas participantes que informaron
laboral podría trabajar a distancia entre tres un 630 %, de los cuales, la mayoría de los
espacios de trabajo adaptables capacitan al cambios drásticos, el 66 % ahora supervisa
y cinco días a la semana de forma igualmente incidentes surgieron a causa del robo de datos
personal para trabajar donde y cuando sea más la ciberseguridad a nivel de la dirección.
eficaz que si trabajaran desde una oficina. de identificación. Asimismo, el tráfico de la
productivo. Los entornos flexibles proporcionan Esto es significativo, ya que, históricamente,
Los servicios de contabilidad, fiscales y nube desde dispositivos no gestionados se
áreas bien diseñadas y equipadas en las la ciberseguridad se percibió como una
de asesoramiento tienen un potencial alto duplicó; lo que sugiere la necesidad de control
instalaciones, mientras que garantizan que los tarea de TI, con menos participación de
para teletrabajar, ya que se dedica entre el del acceso a la nube por tipo de dispositivo por
equipos que trabajan desde casa tengan la los(as) ejecutivos(as) superiores. Pero las
50 y el 75% del tiempo a actividades que parte de los(as) directores(as) de tecnología.
tecnología y las herramientas necesarias para investigaciones muestran que una estrategia
pueden realizarse a distancia sin pérdida de realizar sus labores. Añadir terminales fuera de las instalaciones que comienza en los niveles más altos es
productividad. Gartner mencionó que, “Se
requiere más recursos para monitorearlas. fundamental para la ciberseguridad. Bourke
pronostica que el 51% deel personal intelectual Las empresas recurren a la nube para
Y es más difícil conseguir visibilidad a las afirma, “La conciencia ahora es más amplia,
en todo el mundo trabaje a distancia, lo cual dar soporte a la fuerza laboral de trabajo
actividades del personal y la forma en la que y se hace responsable a la alta dirección, no
representa un aumento del 27% en comparación híbrido. Pero añadir terminales a distancia y
trata a los posibles incidentes de seguridad solo a TI. Anteriormente, los(a) directores(as)
con el personal intelectual que lo hacía en aumentar la dependencia en el software en
cuando no está en las instalaciones. ejecutivos(as) tradicionales dependían de TI
2019”. línea representa un riesgo de ciberseguridad
para mantener la protección. Ya no es así”.
considerable. Al mirar hacia el futuro laboral, Al mismo tiempo, las medidas de seguridad
las soluciones de ciberseguridad representan de proveedores externos afectan también
un papel destacado en el éxito del modelo de a las empresas. Por lo tanto, los(as) líderes
trabajo híbrido. deben reevaluar las alianzas tecnológicas para
confirmar que sus proveedores de software
también estén preparados para un ataque de
ransomware.
2 McKinsey & Company, 2021. What employees are saying about the future of remote work 5 HLB International, 2021. HLB Survey of Business Leaders 2021: Achieving the post-pandemic vision: leaner, greener and keener
3 Gartner, 2021. Gartner Forecasts 51% of Global Knowledge Workers Will Be Remote by the End of 2021 6 McAffee, 2021. Cloud Adoption and Risk Report
4 Pearl Meyer, 2021. Gartner Forecasts 51% of Global Knowledge Workers Will Be Remote by the End of 2021
8 HLB CYBERSECURITY REPORT 2021 HLB HLB CYBERSECURITY REPORT 2021 9
“ES NECESARIO REALIZAR LA CIBERSEGURIDAD A UN NIVEL MÁS
ALTO. EJECUTAR LAS ACCIONES A NIVEL DE LA DIRECCIÓN. DE
LO CONTRARIO, NO LOGRA LA TRACCIÓN QUE NECESITA”.
Abu Bakkar, Director General de Innovación de HLB
FIGURA 2: LAS ESTRATEGIAS DE CIBERSEGURIDAD
CAMBIARON COMO RESPUESTA A LA COVID-19
17% P: ¿EN QUÉ MEDIDA CAMBIARON LOS PROTOCOLOS Y LAS
ESTRATEGIAS EN TORNO A LA CIBERSEGURIDAD EN SU EMPRESA
DESDE EL INICIO DE LA PANDEMIA?
PERMANECIERON IGUAL
39% CAMBIARON EN CIERTA MEDIDA
CAMBIARON DRÁSTICAMENTE
43%
Abu Bakkar, director general de innovación Requiere el soporte de los(as) ejecutivos(as), del mercado podría ofrecer oportunidades para para el personal, como proporcionarles las
de HLB, añade: “Es necesario realizar la ya que es una gran tarea que involucra futuras asociaciones. herramientas y los recursos necesarios para
ciberseguridad a un nivel más alto. Ejecutar cambios en las políticas y los procedimientos. realizar su trabajo tal como si estuvieran en
las acciones a nivel de la dirección. De lo Bakkar menciona que “implementar un marco Del 42% que indicó que hizo cambios, el 39% oficina. Sin embargo, muchos(as) líderes no
contrario, no logra la tracción que necesita”. Sin operativo suena sencillo, pero no lo es. Se aumentó la capacitación del personal, el 36% conocían la duración del periodo en el que
embargo, Bourke menciona, “Si se lleva a cabo necesita ayuda y apoyo, ya que hay demasiadas aumentó su presupuesto y el 12% invirtió en su fuerza laboral permanecería a distancia
a nivel de la dirección, ¿qué están haciendo? políticas y procedimientos, y muchas cosas un programa de resistencia cibernética. De y no buscaban soluciones a largo plazo. Por
Especialmente si no desean subcontratar que cambiar”. Carlos Camacho, socio de acuerdo con Bourke, “El mayor riesgo involucra consiguiente, al inicio de la pandemia no fue
su ciberseguridad”. En otras palabras, es HLB Digital, añade: “No es solo un año, es la al personal, por lo que son importantes una prioridad la inversión en protocolos más
fundamental aclarar los papeles de los mentalidad la que hace la diferencia”. los programas de capacitación”. También estrictos de ciberseguridad.
miembros directivos y encontrar la desconexión encontramos que, mientras que el 14%
entre el equipo de TI y lo que el/la director(a) En contraste, solo el 6% de los cambios seleccionó “Otra respuesta”, al inspeccionar sus Ahora que el trabajo fluye con mayor soltura
ejecutivo(a) cree que hacen. drásticos incluyen la subcontratación de la respuestas escritas, indicaron que sus cambios y los ciberataques prominentes están en
ciberseguridad. El bajo porcentaje podría fueron una combinación de las tres opciones. las noticias, los(as) líderes buscan adoptar
Además, el 28% de las personas participantes provenir del deseo de los(as) ejecutivos(as) medidas más sólidas en torno a la seguridad
informaron sobre la implementación de un de trabajar con socios conocidos y su recelo PREPARACIÓN PARA EL TRABAJO HÍBRIDO para proteger a su negocio.
marco operativo. Normalmente, un marco acerca de a quién integran a su proceso de El año pasado, muchos(as) participantes de
operativo incluye la continuidad empresarial ciberseguridad. Para los(as) proveedores(as) y la encuesta mencionaron la importancia de
y un plan de recuperación ante desastres. asesores(as) de seguridad, la baja saturación lograr las condiciones de trabajo a distancia
10 HLB CYBERSECURITY REPORT 2021 HLB HLB CYBERSECURITY REPORT 2021 11
FIGURA 3: CAPACITACIÓN EN CIBERSEGURIDAD PARA EL
PERSONAL
P: ¿CUÁL ES SU ESTRATEGIA EN RELACIÓN CON LA CAPACITACIÓN
DE SU PERSONAL EN MATERIA DE CIBERSEGURIDAD?
EL PERSONAL SE 33%
CAPACITAMOS A NUESTRO PERSONAL, PERO SIEMPRE LIDIAMOS CON LA
FALTA DE CUMPLIMIENTO
ENCUENTRA EN LA FOMENTAMOS, PERO NO ES OBLIGATORIA
EL NÚCLEO DE LA 57% LA TOMAMOS CON SERIEDAD Y TENEMOS UNA POLÍTICA DE NO
EXCEPCIONES
CIBERSEGURIDAD DE
10%
SU EMPRESA
Aunque las empresas implementen Ya que algunos de los mayores riesgos
muchas medidas de seguridad, el personal provienen de las personas, es importante BARRERAS COMUNES PARA LAS MEDIDAS DE Por último, la capacitación del personal
representa finalmente uno de los papeles más comprender las amenazas que aparecen con SEGURIDAD DEL PERSONAL puede ser deficiente. El personal puede ver
significativos. Carlos Morales, socio de HLB las áreas de trabajo híbridas. A partir de esto, Ya que un tercio de los(as) directores(as) de la capacitación como una tarea que tiene
Digital dijo, “Ahora las personas comprenden los(as) líderes deberían prestar atención a tecnología e información lidia con la falta de que completar, no como una actividad de
que la ciberseguridad no es un problema los desafíos para implementar las medidas de cumplimiento, es fundamental comprender la aprendizaje. Algunas personas podrían
computacional. Es un problema humano”. seguridad y concebir soluciones. raíz del problema. Hay muchas razones por reproducir sin audio los videos requeridos y
las cuales el personal no sigue los protocolos pasar el examen sin dificultades con la ayuda
AMENAZAS A LOS ENTORNOS HÍBRIDOS de ciberseguridad, entre ellas el que son de los motores de búsqueda en línea. Otras
Y, con demasiada frecuencia, es el personal
La ingeniería social y los fraudes electrónicos procesos inconvenientes o confusos. Además, personas podrían no comprender los extensos
el punto débil de la ciberseguridad. Bourke
(phishing) ocasionan problemas de seguridad el personal de áreas distintas a TI podría documentos de las políticas antes de firmarlos.
explica, “En mayor medida, los fallos de
ciberseguridad comenzaron con el personal y para las empresas. En algunos casos, los no estar al tanto de los diferentes tipos de
En comparación, los programas exitosos son
esto impulsó la importancia de desarrollar un correos electrónicos comprometidos de los amenazas o comprender las consecuencias de
incluyentes, fáciles de usar y continuos. Vienen
plan de respuesta a los incidentes”. El Informe proveedores (VEC, por sus siglas en inglés) las fallas de seguridad. Aunque más del 90%
en diferentes formatos y, como los lugares de
de Investigaciones sobre la Filtración de Datos dificultan el rastreo de las direcciones de afirmó que capacita a su personal, Bourke
trabajo adaptativos, la capacitación en materia
de Verizon7 de 2021 encontró que “El 85% de correo electrónico falsas. Esto ocurre con menciona que “el 33% tiene problemas de
de ciberseguridad faculta al personal para
las filtraciones involucran un elemento humano frecuencia a través de datos de identificación falta de cumplimiento, lo que destaca la razón
aprender en el momento y lugar de su elección,
y el 61% de las filtraciones involucraron datos de correo electrónico robados u obtenidos por la que una política que no permite las
y de forma adecuada para su nivel de habilidad
de identificación”. Asimismo, “El 88 % de las mediante un fraude electrónico. excepciones es esencial. Solo se necesita que
y estilo.
filtraciones de datos en el Reino Unido fueron una persona cometa un error”.
Cada vez más, vemos correos electrónicos
a causa de errores humanos, no ciberataques”, SOLUCIONES PARA SUPERAR LOS
empresariales comprometidos (BEC, por El personal de trabajo híbrido podría confiar
de acuerdo con los datos que se obtuvieron de OBSTÁCULOS EN TORNO A LA
sus siglas en inglés). Estas comunicaciones en el internet inalámbrico para trabajar desde
la Information Commissioner’s Office (ICO) del CIBERSEGURIDAD
parecen provenir de un(a) empleado(a) o cualquier lugar y, si la decisión está entre no
Reino Unido.
gerente(a) interno(a) y solicitan información trabajar o arriesgarse con el wifi público, se Carlos Camacho dice, “Ese elemento
Mientras que las herramientas pueden confidencial o el pago de una factura. Las genera una situación complicada. Morales humano necesita capacitación. Porque la
proporcionar la imprescindible visibilidad intrusiones a las computadoras de escritorio dice, “Las personas habitualmente no están capacitación es la clave para el cambio en el
a las prácticas del personal en torno a las a distancia provienen a menudo de errores de conscientes de que trabajar de forma remota patrón humano”. Es por esto por lo que las
contraseñas, los(as) líderes deben centrarse configuración. Como se menciona en el estudio o desde cualquier lugar podría presentar un mejores soluciones de ciberseguridad buscan
en la capacitación y la concientización de de McAfee, los dispositivos para trabajar desde riesgo”. desarrollar mejores hábitos, alterando procesos
los miembros del equipo. Nuestra encuesta casa aumentan la complejidad de la gestión de y aumentando el conocimiento. Además,
la ciberseguridad. Las empresas sin visibilidad Por otro lado, el personal de trabajo híbrido cuando preguntamos sobre las acciones que se
descubrió que el 57% de las personas
y control de las terminales enfrentan mayores podría no contar con las herramientas tomaron para proteger a su empresa, recibimos
participantes se toman en serio la capacitación
riesgos cibernéticos que aquellas con un plan tecnológicas para realizar sus labores de forma docenas de respuestas relacionadas con la
del personal y cuentan con una política que no
de protección de terminales integral. segura, como gestionadores de contraseñas, capacitación del personal, lo que demuestra
permite excepciones. En contraste, el 33% de
autenticadores de dos factores y redes que centrarse en los(as) empleados(as) es
los(as) profesionales de TI que encuestamos
virtuales privadas (VPN, por sus siglas en fundamental para combatir las amenazas
afirman que capacitan a su personal, pero lidian
inglés). Si las empresas ofrecen una política cibernéticas.
constantemente con la falta de cumplimiento.
que permite usar un dispositivo propio, hay una
En esto subyace la gran dificultad de las
mayor probabilidad de que estos dispositivos
empresas para lograr el cumplimiento del
se utilicen para realizar tareas personales y
personal, especialmente al usar un modelo de
profesionales.
trabajo híbrido.
7 Verizon, 2021. Data Breach Investigations Report
12 HLB CYBERSECURITY REPORT 2021 HLB CYBERSECURITY REPORT 2021 13
EL FORTALECIMIENTO DE SU ESTRATEGIA DE
GESTIÓN DE LOS RIESGOS CIBERNÉTICOS
Como se mencionó con anterioridad, en el DESARROLLO DE UN PLAN DE RESPUESTA A
2020, la mayoría de las personas participantes LOS INCIDENTES
indicó que su prioridad principal era realizar El año pasado, los planes de continuidad de las
una evaluación interna de riesgos. Sin embargo, empresas se centraron en la reincorporación
dicho objetivo cayó al número cuatro en al trabajo de los(as) empleados(as). Este año,
nuestra encuesta de 2021. En cambio, la acción el 88% de los(as) ejecutivos(as) se encuentran
estratégica de mayor importancia es desarrollar en cierta medida preparados(as) para el
un plan de respuesta ante incidentes. En la trabajo híbrido. Como resultado, su prioridad
encuesta de este año, las personas avanzaron principal es diseñar un plan de respuesta a los
de la evaluación de riesgos a desear, ahora, incidentes. Con la idea de que un ciberataque
descubrir la forma de responder a ellos. es inminente, los(as) líderes buscan formas de
Como todas las medidas de ciberseguridad, la El entorno laboral, sin importar la ubicación, limitar la interrupción mediante el monitoreo
higiene cibernética del personal se apoya en debe asegurarse. Las VPN de acceso a Aunque las empresas tienen estrategias proactivo y las respuestas uniformes, en caso
una estrategia de tres frentes: las personas, distancia son una solución. Otorgar solo distintas en torno a la transformación digital, de una filtración.
la tecnología y el entorno. Las personas los permisos de acceso necesarios es otra. incluidos los objetivos y la cronología, la
Bakkar menciona, “La continuidad empresarial
necesitan capacitación para detectar los Otros(as) directores(as) de tecnología nos capacitación del personal sigue en el número
es enorme. Hay que asegurarse de que la
correos electrónicos falsos de phishing, dijeron que tomaron medidas para evitar la dos de nuestra lista de prioridad, la cual es
empresa sea capaz de estar en funcionamiento
como programas de capacitación en línea navegación personal y el uso de filtros de igual a la del año pasado.
lo más rápido posible después de un
obligatorios. Asimismo, la dirección debe contenido y herramientas de monitoreo dentro
Para que los(as) directores(as) de tecnología incidente. No hay forma de detener al 100%
poner el ejemplo y mantener abiertas las de los dispositivos empresariales.
tomen una decisión acerca de sus siguientes un ciberataque. Se pueden mitigar la mayoría
líneas de comunicación con el fin de realmente
La tecnología también representa un papel. pasos, el primer lugar para comenzar es de las cosas, pero si se tiene un buen plan de
transmitir el mensaje de la importancia de la
Por ejemplo, las aplicaciones de autenticación ejecutar una evaluación interna de riesgos. respuesta, se sabe que también se mitiga con la
ciberseguridad. Aproximadamente un cuarto de
de dos factores o factores múltiples, o la A partir de ahí, los(as) líderes deberían continuidad empresarial”.
las personas participantes cambió el nivel de la
toma de decisiones, ahora tomar las medidas habilitación de 2FA en las herramientas dar prioridad a las tácticas para mitigar las
existentes puede reducir significativamente amenazas, capacitar al personal y responder a CAPACITACIÓN EN MATERIA DE
en torno a la ciberseguridad se da a nivel de
la piratería de las cuentas. Los programas los incidentes. CIBERSEGURIDAD PARA LAS ESTRATEGIAS
dirección, lo que sugiere que los(as) líderes
de gestión de contraseñas facilitan el DE LA FUERZA LABORAL
reconocen la importancia de una estrategia que
comienza en los más altos niveles. cumplimiento de sus políticas en torno a estas. De acuerdo con Camacho y Morales, las
Utilizar medidas estándares de ciberseguridad, personas son tanto la fortaleza como la
En las respuestas escritas, las personas como firewalls, sistemas de prevención de debilidad. Por lo tanto, la prevención y la
encuestadas informaron sobre el uso de varias intrusiones (IPS, por sus siglas en inglés), respuesta a los incidentes depende, en parte,
soluciones para mejorar el conocimiento del sistemas de detección de intrusiones (IDS, de su personal. Nuestra encuesta HLB de
personal, incluidos los talleres, la capacitación ídem) y el monitoreo de las terminales, también 2021 encontró que el 90 % de las personas
en línea y los servicios de capacitación de ayuda a proteger la información de sus equipos participantes capacita al personal. Sin
terceros, intensivos y en toda la empresa. y empresarial. Además, adoptar políticas e embargo, no todas consiguieron con éxito el
implementar los marcos operativos del National cumplimiento de los(as) empleados(as), lo que
De acuerdo con Bakkar, algunas empresas Institute of Standards and Technology (NIST) y sugiere que existe la necesidad de revisar los
“utilizan a una compañía de capacitación que la International Organization for Standarization programas actuales de capacitación y afrontar
proporciona videos educativos. Y, sin importar (ISO) es fundamental para reducir los riesgos sus debilidades.
si usted es socio(a), profesional o parte del cibernéticos.
personal, si no toma esos videos y los ve, no
tendrá acceso a su computadora portátil o a la
red”.
De acuerdo con Bakkar, algunas empresas
“UTILIZAN A UNA COMPAÑÍA DE CAPACITACIÓN QUE
PROPORCIONA VIDEOS EDUCATIVOS. Y, SIN IMPORTAR SI
USTED ES SOCIO(A), PROFESIONAL O PARTE DEL PERSONAL,
SI NO TOMA ESOS VIDEOS Y LOS VE, NO TENDRÁ ACCESO A SU 8 HLB International, 2021. HLB Cybersecurity Report 2020: Navigating the
cyber-risk landscape in the age of remote working
COMPUTADORA PORTÁTIL O A LA RED” 9 HLB International, 2021. HLB Survey of Business Leaders 2021: Achieving the
post-pandemic vision: leaner, greener and keener
14 HLB CYBERSECURITY REPORT 2021 HLB HLB CYBERSECURITY REPORT 2021 15
57%
DE LOS E N C UE STA D OS S E TO M AN EN S E RIO LA ED U C ACIÓN
EN C I BE R S E G U R IDA D PA RA S U P E RS O NAL Y NO TIE NE N UN A
PO L Í TI CA D E E XC E P C IÓ N .
De acuerdo con Bourke, “El 56% se lo toma ANÁLISIS DE LAS ESTRATEGIAS DE con regularidad evaluaciones de amenazas. Sin embargo, el informe afirma que el 57% de
en serio y afirma que no tolerará excepciones, COMPUTACIÓN EN LA NUBE Algunas empresas podrían preferir subcontratar las personas participantes adujeron a la falta
lo cual es un buen inicio. En HLB, somos el Las personas participantes clasificaron en la evaluación para garantizar que se realiza de de personal sus dificultades para mantener la
asesor de confianza, y nuestros clientes confían tercer lugar la revisión de las estrategias de la forma correcta y oportuna. gestión de riesgos de proveedores externos.
en que nosotros protegeremos sus datos computación en la nube en nuestra encuesta Debido a los presupuestos ajustados y a la
confidenciales. Por lo tanto, nos tomamos HLB9. De acuerdo con Gartner 10, “a nivel EVALUACIÓN DE RIESGOS DE falta de fuerza laboral, es desafiante realizar
en serio el acceso a los documentos y a la global, el gasto de usuario final en servicios CIBERSEGURIDAD DE TERCEROS evaluaciones y monitorear el cumplimiento
información. No deseamos correr el riesgo de de la nube pública aumentará un 23.1% en (PROVEEDORES) de los proveedores. Al mismo tiempo, hay
un posible peligro”. 2021”. Gartner estima que “al menos el 40% de Las evaluaciones de proveedores también una oportunidad para los proveedores de
todo el uso de acceso a distancia provendrá tuvieron un lugar bajo en nuestra encuesta de evaluaciones para apoyar a los rezagados con
Las políticas en materia de ciberseguridad sus evaluaciones y planificación.
predominantemente del acceso a redes de cero 2020, conforme los(as) líderes dieron prioridad
deberían cubrir los dispositivos móviles y
confianza (ZTNA, por sus siglas en inglés), en a las acciones internas por encima de lo que
de escritorio, las descargas de aplicaciones
comparación con el casi 5% a finales de 2020”. hacen los demás. Sin embargo, el año pasado,
de terceros, el uso de las redes sociales y la
Aunque Gartner pronostica la continuación del grandes corporativos, como Marriott, P&N Bank
seguridad del correo electrónico. Asimismo, los
uso de la VPN, dice, “El ZTNA se convertirá en y General Electric enfrentaron ataques después
cursos continuos deberían repasar las normas
la primera tecnología de reemplazo”. de la filtración de un proveedor externo. De
de protección de datos y las consecuencias de
acuerdo con el informe Mastercard RiskRecon 11,
incumplir los protocolos de ciberseguridad a Bakkar afirma, “Cambiar a una arquitectura de los(as) líderes consideran que los ataques a la
nivel del personal y directivo. cero confianza es una gran, gran tarea. Hay mayoría de sus proveedores ocasionarían un
que cambiar procesos, políticas, hardware y riesgo o un efecto grave en su empresa.
Sin embargo, bombardear al personal con
sistemas. No es un cambio barato ni rápido.
material de lectura o largos videos es menos
Cambiar al ZTNA significa que no se confía
útil que los modelos y las simulaciones FIGURA 4: DESARROLLAR UN PLAN DE RESPUESTA ANTE INCIDENTES ES AHORA UNA PRIORIDAD
en nada hasta que se atraviesan los procesos
interactivas para la capacitación. La PRINCIPAL
internos de seguridad, como 2FA. Solo cuando
comunicación de los(as) directivos(as) también
el usuario final obtiene la “confianza”, puede P: CLASIFIQUE POR ORDEN DE PRIORIDAD LAS SIGUIENTES ACCIONES PARA FORTALECER LA CIBERSEGURIDAD:
es esencial. Los(as) ejecutivos(as) deberían
acceder a las redes y las aplicaciones.
informar a los equipos acerca de los fraudes
más recientes dirigidos a su sector y puestos
REALIZACIÓN DE UNA EVALUACIÓN INTERNA
laborales, y hablar acerca de lo que se ha
DE RIESGOS
estado haciendo a nivel directivo para proteger
al personal y a la empresa en conjunto. Las En 2020, más de la mitad de las personas
conversaciones frecuentes mantienen la participantes en la encuesta estaban al tanto
ciberseguridad siempre en mente y, al hacerlo, de situaciones cibernéticas anormales y LAS PERSONAS PARTICIPANTES CLASIFICARON LAS ACCIONES EN EL ORDEN
aumenta la concientización del personal. el 12% había experimentado una filtración.
SIGUIENTE:
Sin embargo, muchos cibercrímenes pasan
Por último, la capacitación del personal desapercibidos durante meses o años. Y es
1. DESARROLLAR UN PLAN DE RESPUESTA A LOS INCIDENTES
solo llegará a este punto, a menos de casi imposible dar prioridad a los objetivos
que la respalden los recursos que los(as) de ciberseguridad y saber dónde colocar sus 2. PROPORCIONAR CAPACITACIÓN EN MATERIA DE CIBERSEGURIDAD PARA LAS
empleados(as) necesitan. Para este fin, los(as) fondos presupuestales sin realizar primero una
directores(as) de tecnología podrían considerar evaluación interna de riesgos. ESTRATEGIAS DE LA FUERZA LABORAL
encuestar a sus equipos para evaluar su
comprensión de las medidas de ciberseguridad Ya que la mayoría de las personas participantes 3. REALIZAR UN ANÁLISIS DE NUESTRAS ESTRATEGIAS DE COMPUTACIÓN EN LA NUBE
y preguntar cuáles son sus preocupaciones. en la encuesta de este año están tomando
Los(as) empleadores(as) deberían proporcionar medidas inmediatas para mejorar la 4. REALIZAR UNA EVALUACIÓN INTERNA DE RIESGOS
apoyo uno(a) a uno(a) para ayudar al personal ciberseguridad, hay una buena posibilidad de
a actualizar o mejorar la seguridad en su oficina que hayan realizado una evaluación interna de 5. REALIZAR UNA EVALUACIÓN DE RIESGOS A TRAVÉS DE UNA ENTIDAD EXTERNA
en casa y en sus dispositivos. riesgos y se basen en ella. Pero es importante
notar que los equipos de TI deberían realizar
10 Gartner, 2021. Gartner Forecasts 51% of Global Knowledge Workers Will Be Remote by the End of 2021 11 Mastercard: Riskrecon, 2021. The State of Third-Party Risk Management
16 HLB CYBERSECURITY REPORT 2021 HLB CYBERSECURITY REPORT 2021 17
Analítica: Las personas
UNA CONVERSACIÓN participantes también aumentaron
su uso de la analítica y el informe
HONESTA: CÓMO AFRONTAN de situaciones de seguridad. El
LOS(AS) DIRECTORES(AS) DE monitoreo y la acción con base en
los tres principios de la seguridad de
TECNOLOGÍA LOS DESAFÍOS la información (confidencialidad de
datos, integridad y disponibilidad)
DE CIBERSEGURIDAD son fundamentales.
Herramientas de ciberseguridad:
Preguntamos a las personas participantes de Los(as) directores(as) de tecnología
este año: ¿Qué medidas específicas ha estado
implementan varias herramientas
tomando para proteger a su empresa de los
ataques de ciberseguridad más frecuentes, tecnológicas para dar apoyo a los
como phishing o ransomware? Sus respuestas esfuerzos de ciberseguridad, como
nos muestran el alcance y la importancia el uso de servicios en la nube para
de varias estrategias y la dedicación a una
la recuperación frente a desastres,
estrategia de capas múltiples.
poner en cuarentena los correos
electrónicos desconocidos, el uso de
verificación de cuenta para correos
electrónicos y el encriptado de
datos.
A continuación, verá formas
en las que las personas Políticas y protocolos: Las
participantes de la encuesta empresas adoptan procedimientos
HLB de 2021 afrontan la claros para informar y lidiar con los
ciberseguridad en su empresa: Empleados(as) de TI: Las personas correos electrónicos sospechosos,
participantes implementan protocolos para el control de
equipos especializados con la versiones y la retención de archivos,
responsabilidad principal de y mantener un plan de recuperación
gestionar los incidentes de phishing de rápida respuesta.
y ransomware. Están preparadas
para identificar, rastrear y aislar Capacitación del personal: Con
las amenazas para proteger la estrategias que van desde las
Servicios de ciberseguridad: información de los(as) clientes en la capacitaciones obligatorias para el
Muchas dependen de asesores(as) nube. acceso a las redes, hasta los talleres
de confianza, como expertos(as) a nivel empresarial, las personas
en ciberseguridad. Contratan a Dirección de seguridad de TI: participantes se centran en
empresas de ciberseguridad para Varias crearon un nuevo puesto aumentar la conciencia y desarrollar
liberar a su equipo interno para laboral de TI. Esta posición se buenos hábitos de higiene
dar prioridad al firmware y a los coordina con cada gerente(a) de cibernética.
parches. Las empresas externas sistema de TI y supervisa todas
también apoyan con evaluaciones y las tareas relacionadas con la
capacitación del personal. cibernética, lo que incluye garantizar
que los dispositivos tengan clientes
finales gestionados de forma actual
y centralizada.
18 HLB CYBERSECURITY REPORT 2021 HLB CYBERSECURITY REPORT 2021 19
LA CIBERSEGURIDAD: PASOS SIGUIENTES:
LA OPORTUNIDAD FRENTE A LA AMENAZA ASEGURAR EL FUTURO
En la encuesta de este año les preguntamos Ya que menos del 3% de las personas Algunas empresas dirigen el sector Además, una de las mejores medidas que
a las personas participantes si veían a participantes utiliza un servicio de apresurándose a ajustar los protocolos y los(as) líderes pueden tomar es diseñar
la ciberseguridad como una amenaza o ciberseguridad externo, hay una oportunidad desarrollar marcos operativos. Otras se programas de concientización y capacitación
una oportunidad. El 45% la vio como una significativa en esta área para demostrar el retrasan, pero buscan las mejores prácticas y del personal, que incluyan campañas para
oportunidad para ofrecer servicios de valor de sus servicios como socio de tecnología las soluciones rápidas, mientras avanzan en destacar amenazas específicas y módulos
asesoría, en comparación con el 44.85% de confianza. el desarrollo de lugares de trabajo híbridos interactivos centrados en el desarrollo
que la vio como una amenaza que consume seguros. Por último, una minoría de líderes de buenos hábitos. Conforme su empresa
recursos empresariales. Menos del 10% de las Al mismo tiempo, la ciberseguridad representa hizo cambios mínimos y sigue manteniendo navega el panorama del riesgo cibernético,
personas participantes no anticipa cambios una amenaza. Es costoso implementar al personal en un ambiente seguro, en las nuestros(as) asesores(as) de confianza pueden
drásticos, mientras que más del 90% cree que cambios, proporcionar recursos suficientes instalaciones dentro del perímetro corporativo. serle de ayuda. Póngase en contacto con
las amenazas continuarán creciendo a ritmo y dar prioridad a la ciberseguridad. Si estos En este caso, el sector, el tamaño de la empresa nosotros para conocer la forma de aprovechar
acelerado. gastos se reducen de las áreas que generan o la ubicación geográfica podría reducir la las oportunidades mientras se mitigan las
ingresos, los(as) líderes podrían preocuparse necesidad de tener personal a distancia, amenazas.
Bakkar afirma, “Yo creo que tiene que haber a causa de la sustentabilidad del programa. herramientas basadas en la nube o medidas de
un riesgo para crear una oportunidad. Si todo En consecuencia, las personas participantes seguridad fuera de las instalaciones.
fuera perfecto, no habría ninguna oportunidad”. sienten la preocupación de que un aumento
Para los(as) líderes, quienes toman medidas a repentino en las amenazas esté por venir. Sin embargo, es un hecho que los ciberataques
nivel de dirección y tienen un marco operativo siguen en aumento, sin importar el tamaño
en funcionamiento, las oportunidades son o el sector de las empresas. Y los(as)
inmensas. Son los(as) líderes del sector y creadores(as) de amenazas sofisticadas siguen
pueden ofrecer servicios de asesoría, informes encontrando formas de obtener acceso a
cibernéticos sobre auditorias de TI, servicios los datos y programas fundamentales para
de centro de operaciones de seguridad, y las empresas. Mientras que una estrategia
contratos de riesgo y control de TI. fragmentada funciona como solución temporal,
una estrategia integral de ciberseguridad,
operada a nivel de la dirección, es vital para las
empresas con una fuerza laboral que trabajará
de forma híbrida a largo plazo.
45% 10%
VE R LO CO M O U N A D E LOS ENC U E STAD OS
O PORTU N IDA D PA RA NO ES P E RAN C AM BIOS
O F R E C E R S E RV IC IOS D E D RÁSTICOS
ASE S OR Í A20 HLB CYBERSECURITY REPORT 2021 HLB CYBERSECURITY REPORT 2021 21
CONTÁCTENOS
Nuestros expertos en ciberseguridad están listos para ayudar a identificar riesgos y
proteger su negocio en el entorno de trabajo remoto actual. Operamos en 159 países
en todo el mundo. Contáctenos:
ABU BAKKAR JIM BOURKE CARLOS CAMACHO ALMERINDO CARLOS GUSTAVO SOLIS
Chief Innovation Officer Global Advisory Leader HLB Digital GRAZIANO MORALES HLB Digital
a.bakkar@hlb.global j.bourke@hlb.global c.camacho@hlbdigital.global HLB Digital g.solis@hlbdigital.global
HLB Digital
a.graziano@hlbdigital.global c.morales@hlbdigital.globalwww.hlb.global
© 2021 HLB International Limited. All rights reserved.
HLB International is a global network of independent advisory and accounting firms, each of which is a separate
and independent legal entity, and as such HLB International Limited has no liability for the acts and omissions of
any other member. HLB International Limited is registered in England No. 2181222 Limited by Guarantee, which co-
ordinates the international activities of the HLB International network but does not provide, supervise or manage
professional services to clients. Accordingly, HLB International Limited has no liability for the acts and omissions of
any member of the HLB International network, and vice versa and expressly disclaims all warranties, including but
not limited to fitness for particular purposes and warranties of satisfactory quality.
This publication has been prepared for general guidance on matters of interest only, and does not constitute
professional advice. You should not act upon the information contained in this publication without obtaining
specific professional advice. No representation or warranty (express or implied) is given as to the accuracy
or completeness of the information contained in this publication, and, to the extent permitted by law, HLB
International does not accept or assume any liability, responsibility or duty of care for any consequences of you
or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any
decision based on it.
In no event will HLB International Limited be liable for the acts and/or omissions of any member of the HLB
International network, or for any direct, special, incidental, or consequential damages (including, without limitation,
damages for loss of business profits, business interruption, loss of business information or other pecuniary loss)
arising directly or indirectly from the use of (or failure to use) or reliance on the content of this Website or any third
party website, or from your use of any member’s services and/or products. Any reference to a member’s services or
products should not be taken as an endorsement.
HLB refers to the HLB International network and/or one or more of its member firms, each of which is a separate
legal entity.También puede leer
