Zurich analiza más de 500 grandes empresas que muestran la reducción de vulnerabilidades digitales y destaca los principales puntos de atención

Un estudio inédito de Zurich, realizado entre 2020 y 2024, reveló una evolución significativa en la madurez de las grandes empresas brasileñas en relación a la gestión del riesgo cibernético. El porcentaje de organizaciones con una calificación de riesgo considerada insatisfactoria o mala cayó del 93% al 55% en el período, mostrando un avance gradual pero consistente en la forma en que las empresas de diferentes sectores se han estado preparando para enfrentar las amenazas digitales.

Los análisis abarcaron un total de 577 empresas, todas ellas con una facturación superior a 10 millones de dólares y pertenecientes a una amplia variedad de sectores de la economía, como la industria básica, la energía, la tecnología, la sanidad, la educación, el transporte, el comercio minorista y los servicios jurídicos. El número de empresas evaluadas varió a lo largo de los años, incluyendo tanto empresas aseguradas como no aseguradas.

Se evaluaron 23 factores de riesgo para la seguridad de la información, desde la gestión de activos, la gobernanza, el control de acceso y la supervisión hasta la respuesta a incidentes y los planes de recuperación en caso de catástrofe.

El estudio se basó en entrevistas técnicas estructuradas realizadas por profesionales del equipo de Ingeniería de Riesgos de Zurich, que también ofrecieron recomendaciones de mejora personalizadas a las empresas evaluadas.

"En 2024, el 45% de las empresas fueron evaluadas con una gestión de riesgos buena o excelente, en comparación con el 7% en 2020. La evolución en la madurez de riesgos de las empresas brasileñas es evidente, impulsada por factores como el aumento de la frecuencia y sofisticación de los ataques, la adopción de normativas como la LGPD, que han impuesto nuevas responsabilidades a las organizaciones, y el crecimiento de la concienciación por parte de la alta dirección sobre los impactos de los ciberriesgos en el negocio", explica José Bailone, director ejecutivo de Seguros Corporativos y Suscripción de Zurich Seguros.

El directivo también señala que, a partir de 2022, es posible observar una curva ascendente continua en la mejora de la gestión de riesgos en las empresas. "Los años anteriores fueron marcados por el pico de la pandemia, que necesariamente aceleró la digitalización de las empresas brasileñas, muchas veces de forma desordenada. Es natural que el aumento de la exposición y las lecciones aprendidas condujeran a una mejora de la gestión de riesgos en los años siguientes", señala Bailone.

Sin embargo, llama la atención sobre el hecho de que, a pesar de la mejora sustancial, la mayoría de las empresas todavía se encuentran en lo que se considera un nivel de madurez insatisfactorio o pobre. "Queda mucho camino por recorrer. Este estudio nos permite comprender, a partir de datos concretos, cuáles son hoy los principales desafíos en materia de seguridad de la información para las grandes empresas en Brasil", subraya.

Dónde están las principales lagunas

Además de mapear los avances, el estudio también identificó los principales puntos de preocupación que aún ponen en riesgo la cibermadurez de las empresas brasileñas.

Según Hellen Fernandes, gerente de Líneas Financieras de Zurich Seguros, las deficiencias observadas no están necesariamente vinculadas a la falta de grandes inversiones. "Hay riesgos asociados a deficiencias tecnológicas, como equipos y sistemas, que exigen mayores inversiones. Pero las principales lagunas se pueden corregir con gobernanza, procesos bien definidos y formación técnica", señala.

A continuación se exponen los principales aspectos recurrentes entre las organizaciones evaluadas:

Falta de un plan estructurado para hacer frente a los ciberincidentes: o, cuando lo tienen, las empresas no lo ponen a prueba con regularidad ni registran las lecciones aprendidas. Esto pone en peligro la capacidad de reaccionar de forma ágil y coordinada ante un ataque digital, lo que puede provocar importantes daños operativos y de reputación.

Falta de preparación para la recuperación en caso de fallos o ataques: muchas empresas no disponen de un plan de recuperación ante desastres, con una estructura adecuada y pruebas periódicas, por lo que existe un mayor riesgo de paralización prolongada de las operaciones y pérdida de datos críticos.

Dificultad para identificar comportamientos sospechosos en el entorno digital: falta de sistemas robustos de monitorización continua, que permitan detectar rápidamente actividades anómalas -como accesos indebidos o movimientos inusuales de datos- y actuar antes de que un ataque cause daños mayores.

Controles de acceso deficientes: falta de autenticación de dos factores (2FA), una función básica que añade una capa de protección adicional a la contraseña. Esto aumenta el riesgo de acceso no autorizado a sistemas e información sensible, especialmente en el contexto de ataques de phishing o ingeniería social.

Uso limitado o inadecuado de las herramientas de protección digital: incluso soluciones tan conocidas como los cortafuegos, la segmentación de redes o los filtros de contenidos y de correo electrónico suelen estar ausentes o mal configurados. Estas herramientas son esenciales para bloquear las amenazas, limitar los movimientos malintencionados en la red y proteger los dispositivos y los datos de filtraciones o intrusiones.

El papel del mercado de seguros

La encuesta se ha basado en la metodología de Zurich, aplicada por ingenieros especializados en seguridad de la información y basada en el marco internacional NIST, referente mundial en buenas prácticas de ciberseguridad.

Además del nivel de madurez de las empresas y las principales carencias, el estudio también muestra que las empresas que se sometieron a las recomendaciones del equipo de ingenieros de Zurich mejoraron su calificación de ciberriesgo en un 22% de media.

"El trabajo de evaluación de riesgos y recomendaciones cualificadas del equipo de ingeniería de riesgos de Zurich fue fundamental para reducir las debilidades de las empresas, incluso si no contrataban seguros", destaca Tiago Santana, Superintendente de Ingeniería de Riesgos de Zurich. "Esto refuerza el papel de este mercado, que va mucho más allá de ofrecer seguros y valores de prevención, con un seguimiento técnico continuo y la adopción de medidas estructuradas para aumentar el nivel de protección", defiende el ejecutivo.

Según Tiago, al consolidar estos análisis, es posible orientar a los clientes de forma más asertiva en la definición de prioridades y en el fortalecimiento de sus procesos. "Proteger una empresa contra los riesgos cibernéticos implica, sobre todo, claridad sobre los propios puntos débiles y voluntad de evolucionar continuamente. Nuestro papel es contribuir técnicamente a este proceso, apoyando al mercado en la construcción de entornos más resistentes", afirma.

Según el ejecutivo, Zurich ha buscado ampliar su apoyo técnico a las empresas, reforzando el papel del sector como aliado en la construcción de entornos más preparados. La compañía acaba de lanzar una novedad: el programa +Resilience, un conjunto de servicios especializados en seguridad de la información para clientes del producto Zurich Cyber Solutions.

Los servicios +Resilience han sido cuidadosamente desarrollados sobre la base de este estudio, garantizando que las soluciones abordan las principales necesidades de los clientes de forma específica. Al contratar el ciberseguro, la empresa recibe créditos que puede canjear por diferentes prestaciones, como formación, evaluaciones y servicios técnicos, de forma flexible y personalizada.

"Los servicios que estamos poniendo a disposición se suman a la propuesta de valor del seguro. Como el cliente puede elegir qué servicios utilizar, estamos combinando protección y prevención de forma personalizada, haciendo justicia a nuestro producto, que, mucho más que un seguro, pretende ser un conjunto de soluciones de gestión de ciberriesgos para el cliente", concluye Hellen Fernandes, Directora de Líneas Financieras de Zurich Seguros.

 

Fuente: Cryptoid

Enlace: https://cryptoid.com.br/ciberseguranca-seguranca-da-informacao/zurich-mapeia-avanco-da-gestao-de-riscos-ciberneticos-no-brasil/