MDN
Ciberseguridad en el Perú

No cabe duda que este año ha planteado grandes desafíos y ha expuesto, más que nunca, muchas deficiencias en todos los ámbitos de la sociedad a nivel mundial. Sin embargo, también ha resaltado el papel catalizador de la tecnología en la forma en que hemos enfrentado colectivamente esta crisis. Uno de los grandes desafíos para las industrias y organizaciones ha sido reforzar su seguridad de la información y la protección de sus sistemas informáticos frente al incremento significativo de los ciberataques durante la pandemia; sobre todo, en un contexto que las ha obligado a adoptar nuevas formas de trabajo y acelerar su transformación digital.

¿Cómo es percibida y gestionada la Ciberseguridad en nuestro país?

Según el ESET Security Report 2020 de Latinoamérica, el 61% de las empresas peruanas encuestadas afirmó que cuenta con políticas de seguridad; sin embargo, solo un 29% indicó que cuenta con un plan de respuesta y continuidad del negocio, y tan solo un 23% clasifica su información.

Igualmente, sorprende que las medidas más básicas de control, aquellas que podría esperarse ver en todas las empresas, como una solución de seguridad antivirus, un backup de información o una solución de Firewall, no están implementadas en la totalidad de dichas empresas (78%, 62% y 62%, respectivamente).

Por otra parte, de acuerdo a la Encuesta Global de Seguridad de la Información 2019-2020 de EY, solo el 27% de empresas en el Perú incluye la ciberseguridad desde la etapa de planificación en sus nuevas iniciativas empresariales; mientras que un 51% sostiene que la relación entre la ciberseguridad y sus líneas de negocio es inexistente o neutral.

“Según lo que muestra nuestra encuesta global de Gestión de Riesgos del Directorio, el 48% cree que los ataques cibernéticos y violación de datos tendrán un impacto más que moderado en su negocio en los próximos doce meses. Por ello, sorprende que solo el 27% de empresas en el Perú la tomen en cuenta en sus planes a futuro”. - Elder Cama, Consulting Partner, EY Perú.

Además, el 81% dice que la prevención de crisis y el cumplimiento siguen siendo los impulsores principales para aumentar el presupuesto de ciberseguridad; lo cual explica que tan solo un 16% del presupuesto de ciberseguridad es usado para programas de transformación digital, y que únicamente un 5% describe a la ciberseguridad como un habilitador de innovación.

“Cuando la función de ciberseguridad hable el idioma del negocio, dará el primer paso crítico para ser escuchada y entendida. Comenzará a demostrar valor porque podrá unir directamente los impulsores de negocios con lo que la ciberseguridad hace para habilitarlos, justificando sus gastos y efectividad. Esto mueve el debate de la reducción de riesgos a la innovación”. – Kris Lovejoy, Líder de Ciberseguridad Global de EY.

¿Estamos en camino a una cibercultura sólida y que perdure en el tiempo?

La educación y concientización de los trabajadores sobre las amenazas informáticas juega un rol fundamental para garantizar la seguridad de la información, ya que, al ser el eslabón más vulnerable de la ciberseguridad, los atacantes se aprovechan de su falta de alfabetización digital y la tendencia innata del ser humano a confiar, para engañar a sus víctimas y lanzar sus ataques contra su objetivo final, que suele ser las redes corporativas.

Según la encuesta realizada por EY, un 70% de los encuestados en el Perú afirma que su empresa ha experimentado un incidente significativo realizado por los empleados en los últimos 12 meses.

Por otro lado, de acuerdo a los resultados de la encuesta realizada por ESET, solo un 31% de las empresas peruanas encuestadas lleva a cabo actividades de concientización periódicamente, un 49% lo realiza ocasionalmente, un 10% no las realiza y el 10% restante no lo hace actualmente, pero planea hacerlo próximamente.

Al respecto, uno de los hallazgos de la encuesta es que la incidencia de los ataques con códigos maliciosos (malware), el método más utilizado por los ciberdelincuentes, se reduce del 34% al 29% en aquellas empresas que implementan capacitaciones de seguridad de forma periódica; sobre todo, en las que cuentan con un CISO u Oficial de Seguridad de la Información, ya que la implementación periódica de dichas actividades en esos casos es mayor (61,3%) que en las empresas donde no existe esta figura (38%, cuando solo existe un CTO o Director de Tecnología).

No obstante, los datos de la encuesta de EY revelan que, de las empresas peruanas que participaron, un considerable 59% no cuenta con un responsable de ciberseguridad que reporte al Directorio o que se encuentre a nivel de gerencia ejecutiva.

Alexander García, Socio de Consultoría de Negocios de PwC Perú, recomienda que para lograr un fortalecimiento de la cultura de ciberseguridad se deben identificar aquellos comportamientos inseguros en la forma cómo los trabajadores interactúan con los sistemas y recursos tecnológicos de la organización. Con esa información, se puede reforzar luego la importancia de la ciberseguridad a través de cursos virtuales, talleres de trabajo o realizando simulaciones de ataques informáticos. Sin embargo, lo clave es entender que se trata de una tarea que nunca acaba y que debe ser periódica.

¿Contamos con una Ley de Ciberseguridad que nos proteja?

De acuerdo al Reporte Ciberseguridad 2020 del BID y la OEA - Riesgos, Avances y el Camino a Seguir en América Latina y el Caribe, el Perú aún no cuenta con una estrategia nacional de seguridad cibernética, sin embargo, sí ha puesto en marcha una política nacional de ciberseguridad, cuyos avances son los siguientes:

– En el 2019 se aprobó el dictamen del proyecto de Ley de Ciberseguridad, que busca establecer el marco normativo en materia de seguridad digital en el Perú.

– En el 2013 se renovó la Ley de Delitos Informáticos (Ley N.º 30096), que cubre de cierta forma el vacío normativo que existía sobre algunos de los ataques más comunes, como la vulneración de sistemas y datos informáticos. Esta norma fue perfeccionada en 2014, bajo la Ley N.º 30171.

– Desde 2011 tenemos la Ley de Protección de Datos Personales (Ley N.º 29733), que busca crear un ámbito de protección sobre la disposición y uso de bases de datos tanto públicas como privadas por terceros.

– Desde 2005 existe en la Policía Nacional del Perú la DIVINDAT (División de Investigación de Delitos de Alta Tecnología), que se especializa en combatir delitos informáticos.

– Desde 2000 contamos con la Ley que Incorpora los Delitos Informáticos al Código Penal (Ley N.º 27309), la cual establece las penas para los infractores de la norma.

Si bien es cierto que la gestión de riesgos y la ciberseguridad son necesarias para prevenir los ciberataques, no son mecanismos de protección totalmente infalibles. Por eso, hoy en día se ha vuelto vital contar con una protección adicional, que permita contener y mitigar los efectos negativos de los delitos informáticos, como las grandes pérdidas económicas asociadas a la interrupción de las operaciones, pérdida o robo de información sensible y demandas por estafa, fraude o violación de la privacidad de datos personales, así como a los daños a la reputación, que destruyen o merman, de manera significativa, el valor de la empresa.

En respuesta a esta creciente necesidad, RIMAC ofrece el Seguro Riesgo Cibernético, que protege a las empresas ante un eventual daño, pérdida o robo de datos de sus sistemas informáticos y la responsabilidad civil que conlleve por daños a terceros.

El Seguro Riesgo Cibernético de RIMAC brinda 6 tipos de cobertura complementarias en una sola póliza, que permiten responder y recuperarse de manera rápida ante las distintas modalidades de ataques cibernéticos y frente a los daños propios y a terceros que se produzcan por pérdida de datos, violación de la confidencialidad, violación de la privacidad/ violación de datos personales, riesgo reputacional del asegurado y responsabilidad civil por seguridad de la red.

Asimismo, este seguro proporciona un sistema de gestión de crisis y un sistema de soporte de ataques cibernéticos, los cuales brindan asistencia permanente tanto remota como presencial, utilizando una moderna infraestructura TI para una atención inmediata, y cuentan con las principales certificaciones de buenas prácticas a nivel mundial. Adicionalmente, estas plataformas son gestionadas por un equipo de expertos internacionales en seguridad de la información, quienes se mantienen actualizados sobre los nuevos vectores de ataque.

Si quieres conocer más sobre el Seguro Riesgo Cibernético, comunícate con tu corredor de seguros o déjanos tus datos, y en breve uno de nuestros Gerentes de Cuenta se pondrá en contacto contigo.