Una investigación de la dirección de Inteligencia Comercial de la Promotora de Comercio Exterior (PROCOMER), determinó que solo el 73% de las empresas costarricenses ha invertido o invierte en ciberseguridad, mientras que el restante 17% no lo ha hecho nunca, la investigación también revela que existe un grupo aún más crítico del 8%, que nunca ha invertido, ni contempla hacerlo, lo que los convierte en los más vulnerables ante las amenazas de seguridad.
Indican los investigadores en su resumen ejecutivo, que entre las empresas que invierten, la protección mediante la aplicación de controles para mitigar riesgos y proteger activos es su principal prioridad; seguido de otros intereses como la detección de amenazas para el 85% de las empresas y la identificación de las probabilidades sobre riesgos en el 81% de los investigados.
Según el trabajo de PROCOMER, este perfil de prioridades refleja que el abordaje de ciberseguridad en las empresas, es mayormente preventivo, pero con poco enfoque en acciones centradas en respuesta solo un 38%, y recuperación investigaciones y recuperación ante ataques el 66%. Por otra parte, y si se considera que el 89% de las empresas encuestadas se ha visto afectado por ciberdelincuencia, es claro que la continuidad del negocio ante estos ataques resulta tan importante como las acciones preventivas.
Señala también el resumen ejecutivo de esta investigación, que entre las soluciones más utilizadas están paquetes habituales e imprescindibles de seguridad cotidiana como antivirus en el 91%, de las empresas, firewall el 87%, antimalware 85% VPNs 81%. No obstante, se evidencia que otras plataformas más exhaustivas y especializadas tienen poca participación, por ejemplo, el XDR 23%, Zero Trust 17%, o SASE 15%, sistemas hacia los que las empresas deberían de orientarse cada vez más, así como también hacia la gobernanza de ciberseguridad el 40% únicamente.
En conjunto las empresas analizadas indican un presupuesto sumado de 15,1 millones de dólares y se evidencia que el gasto en ciberseguridad como parte de la inversión total en tecnología representa una quinta parte del presupuesto, que si bien puede parecer bajo, resulta congruente con la tasa promedio en el mundo que es de un 21% en el 2021; no obstante, si se considera que en el último año el presupuesto global aumentó un 13% en promedio, es previsible que las empresas locales se vean también obligadas a incrementar de forma sostenida, lo cual de hecho es acorde con las perspectivas de gasto en el corto plazo entre la muestra, incrementarlo de forma sostenida con un 72% de ella que considera necesita aumentar su presupuesto de ciberseguridad, mientras que tan solo el 2% lo reducirá.
Para Costa Rica son los virus, phishing y malware las infecciones más comunes, atacando a cerca de 6 de cada 10 empresas. No obstante es el Ransomware, que ha afectado al 37% de empresas, el que señalan como su mayor amenaza; algo previsible al considerar que es uno de los ataques de mayor crecimiento en el mundo(+78% en el 2021vs el 2020). En general, es claro dicen los investigadores que la ciberseguridad es una necesidad, prioridad y obligación país; una que involucra de manera inescapable a todos los sectores del ecosistema, haciendo un llamado a la creación de sinergias e intercambio de experiencias para le fortalecimiento de capacidades.
Costa Rica ocupa el lugar 61 en el mundo en Ciberseguridad
Según esta investigación, diferentes indicadores globales miden el desempeño de Costa Rica en materia de ciberseguridad o desarrollo digital. En promedio el país se ubica en la posición número 61 en el mundo, tomando en cuenta 139 países, aunque con una puntuación competitiva con respecto a los demás países de América rondando en la posición número 6, superado normalmente por Estados Unidos, Canadá, Chile, Uruguay o Paraguay. De conformidad con el BID, Costa Rica muestra oportunidad de mejora en los siguientes indicadores:
- Protección de infraestructura pública
- Manejo de crisis defensa cibernética
- Controles criptográficos
- Cumplimiento de estándares
Investigadores también ofrecen cinco consideraciones claves
- Prevención versus respuesta: El abordaje de seguridad de las empresas es mayormente preventivo, con poca preparación en acciones de respuesta y recuperación ante incidentes. Si se considera que el 89% de las empresas ha estado expuesta a ataques es claro que las estrategias de continuidad del negocio resultan tan importantes como las preventivas, donde solo el 55% ha implementado acciones al respecto.
- Vulnerabilidad centrada en las microempresas: Casi un 10% de las empresas no solo nunca ha invertido en ciberseguridad, sino que tampoco considera necesario hacerlo en el corto plazo, la mayoría de ellas de tamaño micro pequeñas. Más que una limitante de presupuesto, refleja pobre cultura organizacional y desconocimiento sobre la relevancia de la ciberseguridad.
- Ransomware es la principal preocupación: Casi cuatro de cada 10 empresas costarricenses se han visto afectada, que está además entre los de mayor crecimiento en el mundo con más 78% en el 2021 versus el año anterior, considerando la tendencia global, es una posibilidad que más empresas locales o gobierno, resulten expuestas, ante lo cual destaca aún más la importancia de contar con planes de continuidad del negocio y recuperación ante desastres, señala anteriormente.
- Mitad de empresas son soft-users: El 45% de empresas ha implementado entre uno a cuatro categorías de soluciones de ciberseguridad estratégica, es decir son usuarios parciales o poco intensivos de seguridad digital comparado con el 29% de empresas que han implementado a cabalidad entre 9 a 12 categorías. Por otra parte, según soluciones utilizadas destacan entre las más empleadas aquellas básicas y habituales para las empresas, decir paquetes de antivirus firewall, anti-malware, VPN; pero una muy baja participación de otras más exhaustivas y especializadas como XDR, solo el 23% de las empresas, Zero trust, el 17%, o SASE, el 15% entre otros.
- Ciberseguridad compite en presupuesto con otras tecnologías 4.0: Entre las limitaciones para el gasto de ciberseguridad, el 62% de las empresas ha priorizado invertir en otras tecnologías Cloud computing, Big Data o loT, son las tres principales en las que más gastan las empresas.
Ver investigación completa en: http://sistemas.procomer.go.cr/EstudiosMercados Caracterización del uso y necesidades de ciberseguridad en empresas costarricenses, de Erick J. Apuy Dirección de Inteligencia Comercial.
