- Estudio de la firma estimaque la cifra será el doble del total que se registró en 2015
- Advierte: los delincuentes cibernéticos pueden actuar aislados o altamente dirigidos
- Y, añade, atacar organizaciones grandes y pequeñas de los sectores público y privado
Por: Alma G. Yáñez Villanueva
Hoy en día todas las organizaciones son digitales; sin embargo, no todas ofrecen sus productos y servicios a través de estos canales; aunque todas operan con la cultura, la tecnología y los procesos de la era de internet. Además, en el mundo conectado y convergente entregado por el internet de las cosas, el panorama digital es enorme, con todos los activos pertenecientes o utilizados por la organización que representan otro nodo en la red.
El Foro Económico Mundial califica a la ciberseguridad como uno de los cinco riesgos más graves que enfrenta el mundo de hoy. La escala de la amenaza se está expandiendo drásticamente: para el año 2021, se estima que el costo global de las infracciones de ciberseguridad alcanzará los seis billones de dólares, el doble del total calculado en 2015.
Así lo cita el estudio Ciberseguridad recuperada: preparándose para enfrentar ataques cibernéticos, elaborado por la consultora EY, el cual añade que los atacantes cibernéticos pueden ser sujetos aislados o altamente dirigidos, y que tratarán de vulnerar organizaciones grandes y pequeñas, tanto en el sector público como en el privado. Están tan bien camuflados que exponer a los atacantes requiere defensas de seguridad cibernética que identifiquen la amenaza, incluso cuando adopta los colores de su entorno inmediato, pero las organizaciones no siempre cuentan con este recurso.
Tan solo en 2017, en el Reino Unido el ataque ransomware WannaCry afectó a una parte significativa del Servicio Nacional de Salud (NHS); en Francia, una violación a la ciberseguridad de la campaña presidencial de Emmanuel Macron amenazó con tirar las elecciones al caos; en Estados Unidos, Yahoo! reveló que una violación a sus sistemas de seguridad expuso 3,000 millones de cuentas de usuario; mientras que en India un ataque paralizó el mayor puerto de contenedores en Mumbai.
Al mismo tiempo, la reciente 20.ª Encuesta Global de Seguridad de la Información 2017-2018 indica que nunca ha sido más difícil para las organizaciones mapear el entorno digital en el que operan o las interacciones que ahí llevan a cabo. La infraestructura tecnológica de cada organización es a la medida y compleja, y abarca redes que constan de herramientas y tecnologías que pueden ser locales o estar en la nube.
Además, cada vez es más difícil definir lo que es una organización. Esto se debe a la proliferación de dispositivos pertenecientes a empleados, clientes y proveedores (incluidas computadoras portátiles, tabletas, teléfonos móviles y más) con acceso a los sistemas de la organización, todo lo cual difumina el perímetro de seguridad. Las organizaciones deben pensar que tienen tentáculos largos y en todas direcciones.
Los dispositivos conectados se suman a la complejidad. Internet de las cosas (IoT) no es una colección de elementos pasivos; mas bien es una red de dispositivos conectados e interconectados que interactúan activa y constantemente. La convergencia de estas redes con sistemas que alguna vez estuvieron separados y fueron autónomos, y por lo tanto más manejables, representa un cambio fundamental.
Lo que está en juego no podría ser más determinante. Las organizaciones que caen presas de un ciberataque corren el riesgo de sufrir pérdidas considerables de reputación, así como los costos directos de una violación, que el Instituto Ponemon calcula en promedio en 3.62 millones de dólares.
También existe la posibilidad de enfrentamientos perjudiciales con las autoridades y los reguladores. El Reglamento General de Protección de Datos de la Unión Europea (GDPR), que entrará en vigor en 2018, otorga a los reguladores poderes para multar a las organizaciones hasta con el 2 por ciento de su facturación anual global por fallas relacionadas con una infracción.
Y no son solo los datos y la privacidad lo que torna vulnerable. El IoT expone las tecnologías operativas de las organizaciones a los atacantes, ofreciéndoles la oportunidad de cerrar o subvertir los sistemas de control industrial, por ejemplo. La amenaza puede ser incluso para la vida: imagine a un atacante con la capacidad de apagar los sistemas de soporte vital en los hospitales o de tomar el control de los autos conectados en la carretera.
Los niveles de amenaza de montaje requieren una respuesta más robusta, y muchas organizaciones continúan aumentando sus gastos en ciberseguridad. El 70 por ciento dice que necesita hasta 25 por ciento más de financiación, y el resto requiere incluso más que esto. Sin embargo, solo 12 por ciento espera recibir un aumento de más de 25 por ciento.
En ediciones anteriores de la citada encuesta se ha resaltado la necesidad de estructurar la resiliencia de la ciberseguridad en torno a los principios de detectar, proteger y reaccionar. Estos imperativos son más importantes que nunca: las organizaciones que entienden el panorama de las amenazas y que cuentan con fuertes defensas tendrán mayores posibilidades de repeler ataques e identificar a aquellos atacantes que logran su objetivo; aquellas con la capacidad de defenderse limitarán el daño preveniente del exterior actuando rápidamente.
Puede ser útil pensar en seguridad cibernética en el contexto de la gestión de crisis. Como demuestra la tabla adjunta, las organizaciones afectadas por eventos o incidentes importantes deben manejar picos de presión a medida que los problemas aumentan los niveles de estrés y desencadenan una crisis en toda regla.
Acciones que toda organización debe considerar
| Tipo de amenaza | Estrategia | Actividades (ejemplos) |
| Ataques comunes | Las organizaciones deben ser capaces de prevenir este tipo de ataques a través de una buena ciberseguridad básica. | • Establecer la gobernanza y la organización: comprender los impulsores clave del negocio y obtener el apoyo de la alta dirección para un sólido programa de ciberseguridad; establecer roles y responsabilidades; acordar una estrategia, desarrollar políticas y estándares; habilitar reportes.
• Identificar lo que más le importa: haga un mapa de los objetivos / productos / servicios comerciales para respaldar a las personas, los procesos, la tecnología y la infraestructura de datos, y clasifique por criticidad a su negocio. Esto incluye la cadena de suministro / ecosistema en el que opera (tanto los terceros que le suministran como aquellos a los que suministra).
• Comprender las amenazas: comprenda quién podría querer atacarlo, por qué y cómo podrían llevar a cabo un ataque. Enfocar sus esfuerzos en cómo responder a las amenazas más probables.
• Definir su apetito por el riesgo: comprenda cuáles podrían ser los ciberataques más probables para su empresa a través de la cuantificación simplificada del riesgo cibernético, junto con un marco de gestión del riesgo cibernético, que forma parte de sus procesos generales de gestión del riesgo operacional; establezca su apetito por el riesgo y los mecanismos de informe para garantizar que opere dentro de él.
• Enfocarse en educación y concienciación: establezca un programa de educación y concienciación, garantizando que todos los empleados, contratistas y terceros puedan identificar un ciberataque y conozcan el papel que desempeñan en la defensa de su empresa.
• Implementar protecciones básicas: proteja su empresa a nivel tecnológico mediante la implementación de protecciones básicas que incluyen configuración segura, administración de parches, firewalls, antimalware, controles de medios extraíbles, controles de acceso remoto y cifrado; establecer un programa de gestión de vulnerabilidades (VM) que gestione las vulnerabilidades desde la identificación hasta la remediación; establecer un programa efectivo de Gestión de Acceso e Identidad (IAM) para controlar el acceso a su información; centrarse en la protección de datos y la privacidad (técnica y de cumplimiento), así como en la gestión de terceros que tienen acceso o control de sus datos. |
| Ataques avanzados | Las organizaciones deben evitar algunos de estos ataques, pero deben centrarse en su capacidad para detectar y responder a los ataques más sofisticados y peligrosos. | Ser capaz de detectar un ataque: establezca una capacidad de monitoreo de seguridad que pueda detectar un ataque a través de la actividad de monitoreo en varios niveles dentro de su negocio; esto podría ser un sistema básico mediante el cual se genera una alerta y se envía por correo electrónico cuando se detecta actividad sospechosa en un firewall, a través de un centro de operaciones de seguridad (SOC) 24x7x365, sistemas operativos, aplicaciones y usuarios finales.
• Prepárese para reaccionar: establezca un equipo formal de gestión de incidentes cibernéticos que haya recibido capacitación y esté siguiendo un plan documentado, que se prueba al menos una vez al año.
• Adopte un enfoque basado en el riesgo para la resiliencia: establezca planes de recuperación (incluidas copias de seguridad completas) para todos los procesos y tecnologías de respaldo de acuerdo con su criticidad para la supervivencia del negocio.
• Implementar protecciones automáticas adicionales: pruebe y mejore las capacidades existentes (por ejemplo, automatice los procesos de VM e IAM usando tecnología específica), además de implementar capacidades y tecnologías complementarias como Intrusion Prevention Systems (IPS), sistemas de detección de intrusos (un ejercicio que simula la incidencia cibernética para probar), los firewalls de aplicaciones web (WAF) y los sistemas de prevención de pérdida de datos (DLP).
• Desafía y prueba regularmente: lleve a cabo un ejercicio de simulación de incidentes cibernéticos para evaluar su capacidad de gestión ejecutiva como respuesta a un ciberataque significativo; lleve a cabo un ejercicio inicial de equipo rojo (un ataque planificado, llevado a cabo por hackers profesionales) a fin de probar su capacidad técnica para detectar y responder a ataques sofisticados.
• Crear un ciclo de vida de gestión del riesgo cibernético; reflexionar sobre todas las áreas de su programa de gestión del riesgo cibernético e identificar áreas para la mejora continua; repetir las evaluaciones de riesgo regularmente; considerar el cumplimiento de las regulaciones relevantes. |
| Ataques emergentes | Las organizaciones necesitan comprender las amenazas emergentes y cómo afectarían la toma de decisiones estratégicas, al tiempo que realizan inversiones enfocadas en los controles de ciberseguridad. | • Desarrollar la seguridad en el ciclo de vida del desarrollo; minimizar el riesgo cibernético en todos los productos, servicios, emprendimientos comerciales nuevos, etcétera, completando las evaluaciones de riesgos según sea necesario y gestionando dentro del apetito de riesgo acordado.
• Mejore el monitoreo de amenazas: use la inteligencia de amenazas con visión de futuro para identificar y rastrear amenazas emergentes. |