EscucharLas empresas costarricenses tienen “oportunidades de mejora” en materia de protección de información, pues una buena porción de ellas invierte principalmente en lo básico, otras no invierten del todo e incluso algunas no saben qué es ciberseguridad.
“Con la pandemia muchas empresas ajustaron sus gastos, pero también hay un incremento de ataques”, advirtió Erick Apuy, de la dirección de inteligencia comercial de la Promotora de Comercio Exterior (Procomer) que presentó un estudio sobre el mercado local en ciberseguridad este 17 de mayo.
El informe Caracterización del uso y necesidades potenciales en ciberseguridad en empresas costarricenses, realizado por Procomer antes de los ciberataques que afectan los servicios y sistemas de 27 entidades en el país, muestran que apenas 35% de las compañías y entidades, que participaron en la encuesta y sí invierten en ciberseguridad, tienen programas o realizan algún tipo de capacitación y reciben asesoría en protección de la información.
Apuy explicó que el objetivo del estudio realizado fue caracterizar la demanda potencial y la oferta de servicios en ciberseguridad a nivel local. La investigación tuvo una primera etapa de reuniones y entrevistas con empresas demandantes, desarrolladores, cámaras y agrupaciones. En una segunda etapa se aplicaron encuestas a 64 empresas, en las cuales participaron especialmente sus gerentes y directores de tecnología de información (TI) y de ciberseguridad pues se buscó perfil técnico.
Se incluyó empresas y entidades de sectores como el tecnológico, educación, industria alimentaria, químico farmacéutico, finanzas y bancas, publicidad y mercadeo, entretenimiento, plaśitico, salud, dispositivos médicos, logística y transporte. El 83% de las organizaciones que participaron eran empresas privadas y el 41% eran grandes empresas.
LEA MÁS: Ataques cibernéticos aumentaron contra empresas e instituciones en Costa Rica
Situación
El informe muestra que las pérdidas globales por la ciberdelincuencia alcanzó $6 billones en el último año, lo que equivaldría a la tercera economía del mundo por debajo de Estados Unidos y China. Para el 2025 podría alcanzar $10,5 billones.
“Son cifras gigantescas”, recalcó Apuy. “Es una industria delictiva con cifras exorbitantes”.
El reporte de Procomer indica que en 2020 en Costa Rica se detectaron unos 201 millones de ciberataques, especialmente de phishing y algunos nuevos tipos de intentos de hackeo basados en inteligencia artificial (IA) y en Internet de las cosas (IoT). Se estima que cada 10 segundos se registran pérdidas de casi $2 millones y en una hora hay casi 23.000 ataques a empresas e instituciones del país.
Aunque Costa Rica cuenta con un marco institucional de ciberseguridad encabezado por el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), el país es 61 en un ranking en esta área de 139 naciones y el sexto en América Latina. “Es una posición relativamente competitiva”, dijo Apuy.
El investigador agregó que al realizar un promedio de los indicadores e índices globales de ciberseguridad de varios organismos internacionales (incluida la Organización de Naciones Unidas, la Unión Internacional de Telecomunicaciones y el Banco Interamericano de Desarrollo) se advierten “oportunidades de mejora” en protección de información crítica y manejo de crisis, entre otras áreas.
De acuerdo a los resultados de la encuesta realizada por Procomer, el 73% de las empresas y entidades invierten en ciberseguridad, pero el 27% nunca lo ha hecho. Todas las empresas que sí invierten se centran en la protección, pero las acciones e inversiones empiezan a disminuir a nivel de detección de riesgos (85%), identificación de ataques (81%), recuperación (66%), gobernanza (40%) y capacidad de respuesta (38%).
“Las actividades de respuesta a incidentes es tan importante como la prevención. En una organización el tiempo es dinero. Tener la capacidad de respuesta, de recuperación y de minimización del tiempo en que se pueda recuperar los sistemas después de un ataque es clave”, alertó Apuy.
Las empresas que sí invierten en ciberseguridad tendrían mejores recursos a nivel básico, pues utilizan soluciones como antivirus (91%), firewall (87%), antimalware (85%), redes virtuales privadas o VPN (81%), antispyware (72%), análisis de vulnerabilidades (70%), antispam (66%), autenticación (51%), protección de integración de datos (49%) y protección de programas y aplicaciones (47%).
Hay menor inversión, sin embargo, en sistemas más sofisticados para enfrentar los nuevos tipos de ciberataques. Se utilizan menos soluciones o servicios de pruebas de penetración (43%), claves criptográficas (32%), Extended Detection and Response (23%), plataformas de protección (23%) e incluso sismtes de biometría (21%).
Para las empresas son casi desconocidas soluciones más sofisticadas tipo SIEM (17%), Zero Trust (17%), SASE (15%), módulo de plataforma de confianza (11%), HSM (11%) y WAF y IOCS Lumu (2%).
La mayoría de las empresas siguen recurriendo a sistemas instalados (on premise) que a servicios o soluciones en la nube.
El lío del presupuesto
El informe de Procomer muestra que en promedio se invierte $49.860 por empresa en forma anual en ciberseguridad, lo que representaría el 22% en promedio de los presupuestos en TI. Según Procomer, eso es consistente con lo que se ve a nivel global.
Ese promedio —que en las empresas grandes llega a $163.800, en las medianas a $97.375, en las pequeñas a $25.400 y en las microempresas a $533— habría aumentado en los últimos cinco años, pues 81% de las empresas incrementó sus presupuestos de protección de datos. Sin embargo, 12% lo mantuvieron y 7% lo disminuyó.
Cuando se desglosan las inversiones en ciberseguridad se advierten debilidades, empero.
Por ejemplo, solo tres de cada 10 empresas tienen personal o departamento de ciberseguridad, probablemente las más grandes. En la mayoría (73%) el rol de ciberseguridad está dentro del departamento de TI y un 4% (las empresas pequeñas) no tienen a nadie asignado en esta responsabilidad y la asume alguien con otra función o cargo.
El informe también revela que seis de cada 10 empresas no tiene presupuesto fijo para ciberseguridad y señalan que sus inversiones en TI se dirigen a otras prioridades tecnológicas. El 27% también alega que no ha encontrado un proveedor de ciberseguridad adecuado.
Sin embargo, el reporte muestra que el 23% de las empresas no consideran necesaria la inversión en ciberseguridad porque nunca han sufrido un ciberataque. Incluso el 8% señala que desconocen qué es la ciberseguridad.
