80% de las empresas que sufre un ciberataque importante cierra dentro de los tres años siguientes

De acuerdo con un análisis de Cybertrust Latam, 8 de cada 10 empresas que experimentan un desastre cibernético importante cierra dentro de los tres años siguientes. Adicionalmente, sólo el 30% de las empresas cuenta con una plan para afrontar este tipo de contingencias.

Según explica Jacqueline Pino, Gerente Ciberseguridad y Resiliencia de Cybertrust Latam, “ambos factores se encuentran interconectados, ya que el no contar con un plan de continuidad de negocio conduce a una paralización de las operaciones, lo que inevitablemente conlleva a una pérdida de confianza por parte de clientes e inversionistas. Esto, finalmente, genera al corto o largo plazo, la necesidad de dar término al negocio”.

La experta agrega que, ante ese escenario, es fundamental que las empresas “desarrollen planes que permitan mantener operaciones mínimas o reanudarlas en el menor tiempo posible ante la afectación de recursos clave por un ciberataque. Así también, es clave capacitar al personal para asegurar que cada uno comprenda sus responsabilidades y las acciones a ejecutar en caso de una contingencia”.

Actualmente, con la Ley Marco de Ciberseguridad (Ley N° 21.663, 2024) y la Ley de Protección de Datos Personales (Ley N° 21.555, 2023), las organizaciones deben notificar incidentes y garantizar medidas de prevención. No contar con un plan puede generar sanciones económicas y reputacionales. En este escenario, un plan preventivo es clave.

Cómo avanzar en la creación de un plan

Pïno explica que para armar un plan de continuidad de negocio efectivo, una empresa debe comenzar identificando sus procesos críticos y evaluando el impacto que tendría su interrupción. “A partir de esto, se definen estrategias para mantener la operación mínima ante un ciberataque, incluyendo respaldos seguros, sistemas alternativos y protocolos de respuesta rápida”.

La experta agrega que es “esencial contar con un plan de crisis”, ya que permite tener identificados cuáles serán los equipos de respuesta, qué comunicaciones se deben dar, qué partes interesadas deben ser informadas, etc. “Es decir, definir los lineamientos a nivel estratégico, para bajarlos a nivel táctico y operacional”. Además, el plan “debe actualizarse regularmente e incorporar requisitos legales, como los establecidos en la Ley Marco de Ciberseguridad y la Ley de Protección de Datos”.

Imagen: inas.