El Ministerio de las Tecnologías de la Información y las Comunicaciones público un informe, junto con la Organización de Estados Americanos y el Banco Interamericano de Desarrollo, titulado ‘Impacto de los incidentes de seguridad digital en Colombia 2017’ en el cual se releva información sobre las amenazas de seguridad digital que afectan tanto al sector público como al privado del país y la capacidad de este de defenderse ante las mismas.
Según las conclusiones de este estudio, más del 70% de las microempresas entrevistadas no han identificado incidentes digitales en sus entidades, lo que representa un riesgo para estas debido a que tener la capacidad de identificar incidentes es el primer paso para poder contener un ataque malicioso y poder responder. Sin embargo, el 51% de las medianas esmpresas y el 63% de las grandes empresas entrevistadas sí identificaron incidentes digitales.
Entre los ataques recibidos por las entidades se identificaron cuatro riesgos comunes: Phishing, Malware, DoS y Ataques basados en web. En el estudio se observó que, dentro del sector de Servicios, el 50% de los que respondieron notaron un aumento en los ataques de malware, 47% de phishing, 39% de ataques basados en web y 18% de ataques de denegación de servicio.
En el sector Comercio, se hicieron observaciones similares con un 53% reportando un incremento en el malware, un 41% reportó un aumento en el phishing y un 21% notó un incremento tanto en ataques basados en web como en ataques de denegación de servicio.
Curiosamente, sin embargo, hubo algunas variaciones dentro del sector Industria en esta observación, ya que el 67% reportó un incremento en la gravedad de los ataques basados en web y el malware y el 59% reportó un aumento en los ataques de phishing.
Teniendo esto en cuenta, el estudio indagó entonces sobre la preparación de las entidades, tanto públicas como privadas, para enfrentar estos riesgos. Según los resultados obtenidos, un promedio del 37% de las empresas que participaron del estudio (empresas de los sectores Servicios, Industria y Comercio) creen que estaban preparadas para manejar un incidente digital, al igual que las entidades públicas, quienes también se sienten preparadas.
Por otro lado, los participantes del estudio en el nivel nacional indicaron que el 13% y el 48%, se sentían muy preparados o preparados, respectivamente. No obstante, cuando se compara con las entidades territoriales de orden municipal y departamental, los datos muestran que tan solo el 28%, a nivel municipal, y el 38%, a nivel departamental, se sintieron muy preparados o preparados para manejar un incidente.
Con esto, el estudio pudo concluir que existe un nivel más alto de confianza en la preparación a nivel nacional, y que “seria interesante desarrollar iniciativas de política pública enfocadas al nivel departamental y municipal” menciona el documento.
También, se observó que, de manera general, las organizaciones colombianas que contestaron que se sienten preparadas, de hecho, adoptan más medidas de seguridad que las demás organizaciones. Por ejemplo, las grandes empresas tienden a adoptar más medidas de seguridad que una microempresa, así como las entidades públicas nacionales tienen una preocupación más grande con la seguridad digital que las entidades de orden territorial. Sin embargo, las organizaciones que se sienten más preparadas aún necesitan incrementar sus medidas de seguridad digital, lo que debe incluir una asignación presupuestal más grande para asuntos en materia de seguridad digital.
Entre las medidas más importantes que se pudieron identificar para asegurar a una organización colombiana contra los incidentes digitales, es la asignación de un cargo con dedicación exclusiva para el manejo de incidentes digitales, como por ejemplo el oficial de cumplimiento en temas de Sarlaft. Este cargo es importante ya que ayudará a las entidades a detectar, aislar y resolver incidentes rápidamente cuando ocurran.
Con esto presente, ante la pregunta, ¿tiene su entidad un área, cargo (s) o rol(es) dedicado(s) a la seguridad digital?, el 70% de las grandes empresas respondieron que sí comparado con poco más del 20% de las microempresas.
Entre sectores económicos, la mayoría de empresas del sector Industria dijo tener un equipo con dedicación exclusiva, con un poco más del 54% respondiendo positivamente a la pregunta, frente a solo el 45% y el 42% de las empresas de los sectores de Servicios y Comercio, respectivamente.
Entre las entidades públicas, solo el 33% a nivel nacional y el 10% y 17% a nivel municipal y departamental, respectivamente, tienen un área dedicada a la seguridad digital dentro de su organización.
Por último, y uno de los temas que aún preocupa a las autoridades, es el tema de los reportes de incidentes digitales. Según este estudio, sigue siendo necesario aumentar el nivel de denuncias de estos incidentes, ya que frente a la pregunta, ¿en la ocurrencia de un incidente digital quiénes son notificados en su entidad/empresa?, el 87% informó que no notificó sobre incidentes digitales a una Autoridad Nacional, comparado con el 80% que respondió que lo reportaron a los directores de la organización.
