Informe de ciberresiliencia 2023

Este artículo 14 es parte 16 de este informe.

October 11, 2023

Las empresas del Reino Unido buscan la resiliencia cibernética

La madurez general de la seguridad cibernética entre las organizaciones del Reino Unido cayó marginalmente entre 2020 y 2022, aunque algunos dominios de seguridad tuvieron un desempeño excepcional, mientras que otros experimentaron un retroceso.

Conclusiones principales

  1. Frente a un riesgo cada vez mayor, la madurez cibernética general de los clientes disminuyó.
  2. Si bien la madurez general disminuyó, los puntajes en algunos dominios de seguridad aumentaron, lo que sugiere un aumento de la inversión en algunas áreas en detrimento de otras.
  3. Las tendencias globales indican un aumento de los ataques de ransomware 1 y una respuesta de las aseguradoras, lo que exige enfocarse en los controles que son parte fundamental del proceso de suscripción.

* “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Report. Aon. May 2023.

Este año, el foco de Cyber United Kingdom (Reino Unido) es ayudar a los clientes a “garantizar un futuro digital abierto y resiliente”2. Este tema hace hincapié en un período sin precedentes de avance en el desarrollo digital y las nuevas tecnologías, junto con la comercialización de herramientas cibernéticas, al mismo tiempo que las empresas enfrentan un mayor riesgo cibernético. El brexit ha generado inquietudes relativas a la ciberseguridad en diversos frentes. El primero es la escasez de personal capacitado, a medida que los ciudadanos extranjeros regresan a sus hogares.3 El segundo es que el brexit introdujo un factor de la incertidumbre en la toma de decisiones sobre ciberseguridad en las altas esferas, cuando el Reino Unido perdió su lugar en el Consejo de Administración de Europol, que alguna vez dirigió, y en consecuencia, la capacidad de definir las políticas paneuropeas prioritarias y liderar las operaciones contra el delito cibernético de la Europol4.

El riesgo cibernético es una preocupación central para empresas de todo el Reino Unido. Según la encuesta de gestión de riesgo global de Aon5, el riesgo cibernético y la interrupción del negocio ocupan el primero y segundo lugar, respectivamente, en el Reino Unido, mientras que el daño a la reputación o la marca ocupa el tercer puesto, y las fallas en la cadena de suministro o distribución, el séptimo. La seguridad cibernética atraviesa todos estos temas de riesgo.

No obstante, que las organizaciones del Reino Unido sean concientes del riesgo no significa que estén preparadas. Según información del CyQu, la madurez general respecto de los riesgos cibernéticos de los clientes en el Reino Unido ha caído marginalmente. Sin embargo, esto oculta un análisis relacionado que muestra algunas mejoras significativas en determinados dominios de seguridad, y un debilitamiento o degradación en otros.

Las áreas más notables de mejora del puntaje de CyQu entre 2020 y 2022 incluyen el desarrollo de la autenticación de varios factores (MFA), el monitoreo de vulnerabilidades en dispositivos, y la capacitación del personal en ciberseguridad. Este cambio podría ser consecuencia directa del surgimiento del trabajo remoto durante la pandemia, cuando la superficie de ataque potencial se expandió y las empresas necesitaron abordar con urgencia las vulnerabilidades dentro de estas áreas de control.

Los puntajes de CyQu también se redujeron en otras áreas de control críticas, lo que no hace más que resaltar los desafíos constantes que enfrentan los clientes frente a las tácticas y técnicas en constante evolución de los atacantes cibernéticos. La degradación más clara en la madurez del riesgo puede observarse en la continuidad del negocio y la recuperación ante desastres, las pruebas de penetración en redes y la clasificación de los datos. Una razón posible para explicar este fenómeno es que estas disminuciones fueron producto de los cambios de presupuesto para lograr mejoras en otros dominios.

Si bien la degradación en la madurez del riesgo redujo los porcentajes generales en la mayoría de los sectores, existieron aumentos de dos dígitos en los porcentajes de madurez de CyQu relacionados con la resiliencia y el riesgo en los sectores de manufactura. y de transporte y almacenamiento. Los datos sobre controles de alertas complementarios de ransomware (Ransomware Supplemental Red Flag Controls) demostraron que hubo una mejora notable en los controles de tecnología operativa (TO), aunque las organizaciones informaron que la cantidad de fallas aún es alta. Por ejemplo, las empresas en el sector de manufactura informaron fallas en un 45 por ciento de los controles de TO.


Percent of lack of OT controls’ for given industry in UK


Mientras tanto, las amenazas de extorsión mediante ransomware y su éxito en el uso de esquemas de phishing para iniciar los ataques continúan generando un riesgo significativo de interrupción en el negocio. Si bien las filtraciones de datos por ransomware se redujeron un 16% entre el tercer y el cuarto trimestre de 20226, los datos del mercado de seguros respecto de omisiones y errores cibernéticos muestran que, en el primer trimestre de 2023, la frecuencia de los eventos de ransomware subió un 49%7. Aunque los ataques a organizaciones de los Estados Unidos cayeron un 51% interanual desde el pico de 2021 hasta 2022, aumentaron en el Reino Unido (20%), EMEA (38%) y APAC (56%). Esto indica que los atacantes están enfocándose en otras regiones.

Casi un 40% de los clientes del Reino Unido que completaron la evaluación de Aon sobre controles de alertas complementarios de ransomware con fines de suscripción, informaron fallas en los controles en 33 áreas críticas. Los servicios de construcción, alojamiento, alimentos y manufactura mostraron el nivel más bajo de cumplimiento. Un análisis más minucioso muestra que las empresas de construcción mostraron el menor nivel de madurez en seguridad de copias de respaldo, resiliencia empresarial y seguridad de terminales. Los mayores desafíos para las empresas de servicios de alojamiento y alimentos fueron la administración de software, la autenticación multifactor. y la seguridad de redes y datos. Los clientes del sector de manufactura también informaron dificultades a la hora de establecer controles efectivos en OT y vieron fallas en un 45% de ellos.

Un análisis de los resultados en todas las bandas de ingresos arroja que las organizaciones multinacionales y corporativas tuvieron un desempeño levemente mejor que sus contrapartes más pequeñas, ya que informaron fallas en tan sólo el 31% de los controles. Además, definieron a los controles de seguridad en las copias de respaldo, la seguridad de terminales y la administración de software como sus debilidades más significativas. Las empresas del mercado medio, y las pequeñas y medianas empresas informaron fallas en el 42% de los controles esenciales, que se hicieron más evidentes en la seguridad de redes y datos, la resiliencia empresarial y la seguridad de copias de respaldo.


Percentage of lack of critical IT controls’ for given UK client segment (‘red flags’)

Global: >$5B
Enterprise: $5B-$2B
Mid-Market: $100M-$2B
Small Medium Entity: <$100M


Madurez según dominio de seguridad: Reino Unido

Si se realiza un análisis más profundo, los datos de CyQu revelan una gran variación en los distintos sectores, así como niveles significativos de mejora y caída en la resiliencia. Los sectores de servicios profesionales, científicos y técnicos mostraron los puntajes más altos en lo referido al control de accesos, mientras que el comercio mayorista informó los menores puntajes. La mejora más robusta se vio en el sector de transporte y almacenamiento (+23%).

En cuanto al dominio de seguridad de aplicaciones, los clientes informaron una mejora general del 3% en la madurez. Sin embargo, este dominio se mantuvo como uno de los puntajes más bajos entre los nueve dominios de seguridad de la evaluación de CyQu, un 15% por debajo del promedio. El sector médico tuvo la mejora más sustancial (+16%), mientras que los servicios profesionales (-14%) experimentaron una gran disminución respecto de los puntajes de 2020.

En términos generales, hubo una disminución del 2% en promedio en los puntajes relativos a la resiliencia empresarial, pero ello no refleja algunos cambios muy considerables por sector. Las áreas de finanzas y seguros sufrieron una baja del 18%. El panorama fue mucho más positivo en el sector de transporte y almacenamiento (+23%) y manufactura (+14%).

Los puntajes promedio relativos a la seguridad de los datos se mantuvieron constantes, en términos generales, respecto de 2020, con una sólida mejora en el sector de transporte y almacenamiento (+29%) y en el sector de artes, entretenimiento y recreación (+18%). Sin embargo, la disminución significativa en el puntaje de los sectores de servicios públicos, finanzas y seguros redujeron el promedio de madurez general correspondiente a este dominio.

En los sectores de sistemas y seguridad de terminales, transporte y almacenamiento se informó la mejora más notable respecto de los puntajes de 2020 (+23%). El sector de manufactura también reportó una mejora del 16%. Por su parte, los sectores de finanzas y seguros, así como el de comercio mayorista, reportaron las bajas más considerables.

Si bien el dominio de redes y seguridad mostró una disminución general del 2% en promedio, se mantuvo como el dominio con puntajes más altos en el índice de madurez del riesgo de CyQu. A su vez, los sectores de transporte y almacenamiento, y de servicios públicos informaron una mejora notable, pero los clientes de finanzas y seguros, así como los de servicios médicos, reportaron caídas de dos dígitos.

La seguridad física se mantuvo como uno de los dominios con mayor puntaje, a pesar de una reducción del 3% en promedio. Las organizaciones de tecnología de la información y software informaron los puntajes más altos, mientras que la caída más considerable se vio en el comercio minorista (-17%).

Los puntajes correspondientes al trabajo remoto, un nuevo dominio incorporado en 2020 en respuesta al cambio repentino en la forma de trabajar, permanecieron cerca de su línea de referencia. Sin embargo, las empresas de servicios públicos informaron una caída del 20% en la madurez. La administración de terceros fue el dominio con el puntaje más bajo entre todos y, en 2022, el promedio general bajó otros 3 puntos porcentuales. Este dominio continúa siendo un área de exposición y vulnerabilidad que requiere atención urgente.

¿Y ahora qué? Acciones sugeridas para quienes ocupan puestos de liderazgo en el Reino Unido

Los incidentes cibernéticos afectarán a distintas empresas de formas diferentes. Además, el apetito de riesgo varía en las organizaciones según los distintos sectores y segmentos, lo que impulsa diferentes niveles de madurez en todos los dominios de seguridad. No obstante, el hecho de que la madurez promedio haya disminuido mientras la frecuencia de los ataques de ransomware va en aumento, sugiere que las organizaciones del Reino Unido no comprenden totalmente cómo abordar el riesgo. Es importante que las organizaciones adopten un enfoque cuidadoso e informado a la hora de tomar decisiones sobre su gestión del riesgo cibernético.

  1. Comprenda y evalúe el impacto operativo y financiero que podrían tener los incidentes cibernéticos en su empresa.
  2. En función de un análisis del escenario y la trayectoria de los ataques, identifique los dominios de seguridad y controles que tienen mayor impacto a la hora de mitigar el daño causado por un incidente cibernético.
  3. Coordine su inversión y estrategia de mitigación y transferencia del riesgo para maximizar su resiliencia cibernética.

Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.

La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.

Madurez Cibernética por Región

La madurez cibernética general de las empresas puede diferir según la región. Obtenga más información sobre las brechas, los desafíos y las oportunidades, incluidas las medidas sugeridas que los líderes pueden tomar para desarrollar la resiliencia cibernética y empresarial.