CON CAUTELA
Lala, Femsa y AXA son algunas de las empresas que han sido afectadas por la inseguridad en México. Por eso, 70% de la IP no está segura de invertir en el país.
71% DE LAS EMPRESAS DICE QUE EL FORTALECIMIENTO DEL CRIMEN ORGANIZADO AFECTÓ SUS CONDICIONES DE SEGURIDAD
En octubre pasado, la aseguradora AXA fue víctima de un ciberataque en su Sistema de Pagos Electrónicos Interbancarios (SPEI), lo que puso en alerta al resto de los participantes del sistema de pagos y al mismo Banco de México (Banxico).
Cerca de 80% de las empresas mexicanas asegura haber sufrido un incidente de seguridad, pero 44% de ellas no cuenta con una estrategia general de seguridad de la información, de acuerdo con el estudio GSISS 2018: Proteger la información y prosperar en una economía digital de la consultora PricewaterhouseCoopers (PwC).
La creciente inseguridad en México llevó a las empresas a invertir cada vez más en recursos para estar protegidas y, en algunos casos, a reducir o retirar sus operaciones en el país.
En 2016, solo 16% de las compañías mexicanas invertía más de 5% de su presupuesto anual de operación en seguridad. En 2018, este porcentaje aumentó más del doble, al llegar a 38%, de acuerdo con el Sondeo de Seguridad 2018 de la American Chamber of Commerce Mexico (AmCham).
El reporte detalla que los ataques al transporte de la cadena de suministro (42.1%), la extorsión virtual (39.9%) y el robo (39.9%) fueron los delitos más frecuentes que enfrentaron las empresas.
También las fugas de información fueron citadas por 18% de las empresas y los ciberataques por 13.2%. No obstante las amenazas cibernéticas fueron consideradas como el principal riesgo de negocio para 42% de los inversionistas encuestados por PwC en el estudio Global Investor Survey
2018, publicado a inicios de este año.
Más recursos
La información es un activo que 80% de las organizaciones valoran como “de alta prioridad”, según el Sondeo de Seguridad de AmCham.
En México, las empresas destinan un mayor porcentaje de su presupuesto de Tecnologías de la Información (TI) a la seguridad. “El monto promedio es de 4.2 millones de dólares (mdd), equivalente a 5.1% del presupuesto total destinado a TI, mientras que en el mundo se destina, en promedio, 4% del gasto a este rubro”, detalla PwC.
Sin embargo, “la visión de muchas empresas solo se centra en el cumplimiento, no en los riesgos o en su gobierno. Una visión completa de ciberseguridad debe contemplar estos tres aspectos: gobernanza, riesgo y cumplimiento”, menciona Juan Carlos Carrillo, director de Cibersecurity & Privacy Solutions de PWC.
El ataque virtual a AXA no afectó a los recursos de los asegurados, no obstante, hay indicios de que se sustrajeron recursos de la empresa por un monto que aún no ha revelado, dice Bernardo González, presidente de la Comisión Nacional Bancaria y de Valores (CNBV).
Esta institución, junto con Banxico y la Secretaría de Hacienda y Crédito Público, elevaron a rojo el nivel de alerta de seguridad informática para la operación de los participantes en el SPEI, el sistema que utilizan las instituciones financieras mexicanas para realizar transacciones electrónicas.
Se activaron todos los protocolos de seguridad para minimizar afectaciones. Al mismo tiempo, algunas instituciones financieras, con un perfil de riesgo similar, están operando a través del mecanismo alterno previsto para este tipo de eventos, hasta nuevo aviso, detallaron los tres organismos en un comunicado.
El incidente de AXA se sumó a los cinco ciberataques contra bancos entre abril y mayo de este año, que en conjunto representaron pérdidas por cerca de 300 millones de pesos (mdp).
“Es común que la seguridad aún se perciba como una cuestión de TI, aunque es un asunto que debe contar con su propio responsable y un presupuesto que no esté supeditado a otra área”, dice Juan Carlos Carrillo.
El Sondeo de Seguridad de la AmCham destaca que casi la mitad de las empresas en México, ( 46.1%), no cuenta con un departamento de Seguridad Patrimonial, encargado de proteger los bienes y activos de una organización.
Las compañias que sí la tienen, la mayoría reporta a la dirección general o al área de Recursos Humanos; asimismo, 45.7% realiza tareas adicionales a la gestión de seguridad.
“Si el responsable no puede tomar decisiones propias, comienza a generarse un problema de independencia”, dice PwC en su GSISS 2018.
La consultora añade que “las empresas requieren una estructura que les convenga en la gestión de la información y prevención de ataques. Por ello, se debe desconcentrar el presupuesto de seguridad de TI y dar más autonomía en la toma de decisiones en este rubro”.
El enemigo en casa
Juan Carlos Carrillo, de PWC, menciona que “las empresas que sí se protegen, lo hacen de manera perimetral, es decir, para ataques que vengan del exterior, pero muy pocas piensan en la seguridad interna y no se preparan para un ataque que venga de su propia organización”.
Las amenazas internas suelen provenir de la negligencia o de la intención maliciosa, de acuerdo con el artículo ¿Estás subestimando
elpeligro de las amenazas internas?, publicado por Panda Security, empresa especializada en seguridad informática.
En el primer caso, hay “deficiencia en la organización y los planes de seguridad, lo que permite a los usuarios o a los empleados abrir una brecha de seguridad sin saberlo”, detalla el artículo.
En contraparte, los ataques intencionados tienen menos posibilidades de ocurrir, pero sus consecuencias son muy dañinas, porque obedecen a un ataque orquestado y con voluntad de causar daño a una organización. “En ambos casos, los principales actores que ponen en peligro la ciberseguridad son los usuarios con privilegios y los administradores. Los segundos serían los consultores y trabajadores temporales, seguidos de los trabajadores regulares”, de acuerdo con el documento de Panda Security.
En su GSISS 2018, PwC añade a los exempleados como los principales autores de ataques internos contra las compañías, ya que fueron citados por 35.4% de las empresas, seguidos por los proveedores antiguos (27.5%) y empleados actuales (26.7%). En cuanto a las amenazas externas, las principales fuentes son hackers (34.9%), competidores (27.2%) y el crimen organizado (24.1%).
Clima hostil
Las empresas consideran que los problemas de inseguridad pública podrían obstaculizar el crecimiento económico de México. De hecho, 7 de cada 10 expertos consultados por Banxico en su Encuesta de Especialistas en Economía del
Sector Privado, creen que no es buen momento para invertir a largo plazo en el país.
Esto se debe, a la gobernanza y, dentro de este rubro, a la incertidumbre política interna y los problemas de inseguridad pública.
Para 71.2% de las compañías consultadas por AmCham, el fortalecimiento del crimen organizado fue un factor que afectó sus condiciones de seguridad, seguido por los delitos de oportunidad (69.5%), la ausencia del Estado de Derecho (49.2%) y el incremento de la violencia cerca de la zona de operaciones (49.2%).
Algunas empresas incluso han tenido que mudar o suspender sus operaciones en las entidades más afectadas por la delincuencia.
Un ejemplo es Lala, que en mayo pasado cerró un centro de distribución en Ciudad Mante, Tamaulipas, después de que uno de sus camiones fue interceptado e incendiado. La compañía reanudó sus operaciones en esta ciudad en julio.
Por su parte, Coca Cola Femsa fue otra de las afectadas, ya que en marzo de este año, anunció el cierre indefinido de su centro de distribución en Ciudad Altamirano, Guerrero, por las amenazas y agresiones que sufrían los trabajadores por parte del crimen organizado.
Tanto Tamaulipas como Guerrero se encuentran en el Top 5 de los estados que presentan los mayores desafíos y preocupaciones en materia de seguridad empresarial, de acuerdo con la AmCham.
De las empresas consultadas por este organismo, 6.1% suspendió proyectos de inversión en su totalidad y 14.2% paró operaciones en los últimos dos años por motivos de seguridad. Tamaulipas y Guerrero fueron los dos estados donde se registró el mayor número de casos.
¿Qué hacer?
En su Sondeo de Seguridad, la AmCham sugirió monitorear la Ley de Seguridad Interior, aprobada el año pasado, y luego implementar una estrategia para el retiro de las fuerzas armadas de las tareas de seguridad civil.
El jueves pasado, 9 de los 11 ministros de la Suprema Corte de Justicia de la Nación (SCJN) votaron para declarar inconstitucional esta ley, que pretendía regular la intervención de las fuerzas armadas en tareas de seguridad pública.
Entre los principales motivos de los ministros de la SCJN para echar atrás esta ley, están que el Congreso de la Unión no tenía facultades para legislar en materia de seguridad interna y que el Ejército Nacional solo debe participar en temas de seguridad pública de forma excepcional y no de forma permanente.
Al mismo tiempo que se discutía esta norma, el presidente electo, Andrés Manuel López Obrador, dió a conocer el Plan Nacional de Paz y Seguridad 2018-2024, que contiene sus propuestas para el combate a la delincuencia.
Entre ellas destacan la creación de la Guardia Nacional, una nueva fuerza de corte y formación militar que empezaría a operar en tres años, así como analizar la prohibición de las drogas y la posibilidad de negociar una amnistía a los delincuentes.
No obstante, la estrategia no propone fortalecer a las corporaciones de seguridad actuales ni al sistema de procuración de justicia.
La Cámara de Comercio, AmCham realizó otras recomendaciones para que el país se fortalezca en materia de seguridad y Estado de Derecho, como garantizar la seguridad de la cadena de suministro de valor; implementar en su totalidad el Sistema Nacional Anticorrupción y el nuevo Sistema Penal Acusatorio, así como la Estrategia Nacional de Ciberseguridad.
Sin embargo, la mayoría de los empresarios consultados por AmCham no espera que las condiciones mejoren en el corto plazo, con la llegada del nuevo gobierno.
“Las empresas se protegen para ataques que vengan del exterior, pero muy pocas se preparan para un ataque que venga de su propia organización”.
Juan Carlos Carrillo, director de Cibersecurity & Privacy Solutions de PwC.
35% DE LAS EMPRESAS EN MÉXICO SUFRIÓ ATAQUES INTERNOS DE SUS EXEMPLEADOS