Así está la seguridad de la información en Latinoamérica

A causa de la pandemia generada por el covid-19, desde hace más de un año las empresas aceleraron su digitalización y aunque es algo positivo porque se adaptan a los desafíos del mercado, también han surgido y aumentado las amenazas informáticas, por eso, hay más posibilidades de que sean atacadas, independientemente de su tamaño.

Frente a esto es clave implementar estrategias y buenas prácticas que permitan prevenir incidentes informáticos y garantizar la seguridad, confidencialidad, integridad y disponibilidad de su información.

Para conocer cómo están las empresas latinoamericanas en materia de seguridad de la información, cuáles son sus mayores preocupaciones al respecto, cuáles son los incidentes de seguridad más frecuentes y las prácticas que han ido adoptando, la compañía de seguridad informática ESET presentó, el pasado mes de mayo, el estudio Security Report Latinoamérica 2021.

Este estudio es el resultado de consultas y encuestas realizadas a cerca de mil ejecutivos y representantes de empresas de 17 países de la región. A continuación destacamos los principales hallazgos.

Preocupaciones en seguridad informática

De acuerdo con el estudio, las principales preocupaciones de los encargados de tomar decisiones relacionadas con la seguridad de la información en las empresas latinoamericanas tienen que ver con:

• Códigos maliciosos (64%).
• Robo de información (60%).
• Accesos indebidos a los sistemas (56%).
• Privacidad de la información (45%).
• Falta de disponibilidad de servicios críticos (27%).
• Uso inapropiado de la infraestructura (20%).

Que los códigos maliciosos, es decir, el malware, sean la principal preocupación en las empresas, se debe, según ESET, "a la proliferación de los códigos maliciosos que resultan más rentables para los atacantes y las nuevas condiciones de trabajo, que en conjunto definen el ambiente de amenazas informáticas de los últimos meses".

De hecho, en 2020 los ciberdelincuentes consolidaron el uso de distintas familias de ransomware para robar información y amenazar con publicarla en caso de no recibir pago por su rescate. En la región, las empresas con mayor detección de ransomware fueron de Perú (30%), México (14,9%), Venezuela (13,2%), Brasil (11,3%) y Colombia (7,9%).

Incidentes que más se presentaron en las empresas

Con relación a las situaciones indeseadas que evidencian las vulnerabilidades en seguridad de la información y además ponen en riesgo la continuidad de la operación y del negocio, las que más se presentaron durante el último año, de acuerdo con el estudio de ESET, fueron:

• Infección de malware, es decir, códigos maliciosos (34%).
• Ataques de ingeniería social (20%).
• Accesos no autorizados (16%).
• Denegación de servicio (11%).
• Explotación de vulnerabilidades (10%).
• Secuestro de información (9%).

Adicionalmente, el 39% de los encuestados por ESET manifestaron no haber sido víctima de ningún tipo de incidente de seguridad de la información en sus empresas.

Y ya que la infección de malware ocupa el primer puesto, entre otras razones "debido al aumento de la superficie de ataque, una mayor dependencia de los recursos de Internet y la transformación digital", es importante saber cuáles son las amenazas de este tipo que más se han detectado en la región: Link / Agent Trojan, VBA/TrojanDownloader.Agent, Win/CoinMiner Trojan, Win/Bundpil wørm y Win/HoudRat.

Según el estudio, las empresas más afectadas por este tipo de incidente fueron las de Brasil (19%), México (17,5%), Argentina (13,3%), Colombia (10,6%), Perú (8,9%), Ecuador (5,8%) y Chile (3,6%).

Y para prevenir incidentes de seguridad de la información como estos u otros, es recomendable contar con una herramienta tecnológica como Pirani y su módulo de seguridad de la información que permite identificarlos, clasificarlos, gestionarlos y monitorearlos de manera simple. Conoce más de este módulo.

Implementación de controles

Bien sea para reducir la probabilidad de ocurrencia de los diferentes riesgos de seguridad de la información o para mitigar su impacto en caso de materializarse, las empresas latinoamericanas han implementado controles tecnológicos y de respaldo como:

• Software antivirus (86%).
• Firewalls (75%).
• Backup de información (68%).
• Soluciones de doble autenticación (22%).
• Tecnología de cifrado (18%).
• Soluciones DLP (16%) 
• Soluciones de seguridad para móviles (15%).

Buenas prácticas para proteger la seguridad de la información

Adicional a los diferentes controles que implementan las empresas, el Security Report Latinoamérica 2021 destaca las prácticas de gestión de seguridad que estas han adoptado a causa de la pandemia y el confinamiento. Estas son:

• Actualización de aplicaciones (71%).
• Implementación de políticas de seguridad (68%).
• Realización de auditorías, tanto internas como externas, (40%).
• Plan de respuesta a incidentes y plan de continuidad de negocio (39%).
• Clasificación de la información (30%).

Estas cifras demuestran que, en general, las empresas cada vez son más conscientes de la necesidad de proteger de la mejor forma su información, pues no hacerlo puede representar consecuencias económicas, reputacionales y de continuidad. 

Por eso, es tan importante implementar de manera adecuada un Sistema de Gestión de Seguridad de la Información (SGSI) que permita a los encargados y a todos en la organización proteger la confidencialidad, integridad y disponibilidad de los activos.

En el curso Gestión de Seguridad de la Información con Andrés Olarte, especialista en seguridad de la información con énfasis en ciberseguridad, aprenderás a implementar un SGSI a partir de la norma ISO 27001, norma que es certificable. Conoce más sobre este curso en el siguiente video:

Formación y concientización en seguridad de la información

Por último, del estudio realizado por ESET es clave resaltar la educación y concientización en temas de seguridad informática, pues son fundamentales para reducir los incidentes de este tipo en las organizaciones.

De acuerdo con los participantes, 37% de las empresas realiza actividades de educación o concientización de forma periódica, 41% lo realiza de forma ocasional y 19% no realiza actividades de este tipo, lo cual puede representar impactos negativos, pues tal como señala ESET, "los usuarios informados y capacitados tienen más herramientas para tomar mejores decisiones".

¿Y en tu organización cómo está la seguridad de la información? Cuéntanos abajo en los comentarios.