Cargando

Escribe para buscar

Ciberseguridad en un mundo conectado

Compartir

A medida que aumentan los peligros, los enfoques actuales no funcionan. La gestión del riesgo cibernético necesita una revisión a profundidad.

Hasta hace poco, las empresas financieras y los gobiernos eran los principales objetivos de los ciberataques. Hoy en día, con cada empresa que conecta cada vez más su negocio a Internet, la amenaza es ahora universal.

Considere los estragos causados por tres eventos recientes. De 2011 a 2014, las empresas de energía de Canadá, Europa y Estados Unidos fueron atacadas por el grupo de ciberespionaje Dragonfly. En mayo de 2017, el ransomware WannaCry tomó como rehenes a organizaciones públicas y privadas de telecomunicaciones, atención médica y logística. También en 2017, NotPetya atacó a las principales empresas europeas en una amplia variedad de industrias. Y en 2018, Meltdown y Spectre fueron expuestos como quizás la mayor amenaza cibernética de todas, lo que demuestra que las vulnerabilidades no están solo en el software, sino también en el hardware.

No es de extrañar, entonces, que los administradores de riesgos ahora consideren que el riesgo cibernético es la mayor amenaza para su negocio. La mayoría de los expertos consideran que la ciberseguridad es una prioridad absoluta. Eso es cierto incluso en industrias como la banca y la automotriz, que se podría pensar que estarían preocupadas por otros enormes riesgos que han surgido en los últimos años.

Pero mientras aumenta la conciencia, también aumenta la confusión. Los ejecutivos están abrumados por el desafío. Muy pocos afirman que sus empresas están bien preparadas para hacer frente al riesgo cibernético. La amenaza solo está empeorando, ya que el crecimiento en la mayoría de las industrias depende de las nuevas tecnologías, como la inteligencia artificial, la analítica avanzada y el Internet de las cosas (IoT), que traerán todo tipo de beneficios pero también expondrán a las empresas y sus clientes a nuevos tipos de cyberriesgos.

Entonces, ¿qué deberían hacer los ejecutivos? ¿Mantener la calma y continuar? Esa no es una opción. La amenaza es demasiado importante y los vectores subyacentes en los que se originan están cambiando con demasiada rapidez. Para aumentar y mantener su resistencia a los ciberataques, las empresas deben adoptar una nueva postura: integral, estratégica y persistente.

En nuestras observaciones y conversaciones con expertos líderes, hemos visto cómo se arraiga un nuevo enfoque que puede proteger a las empresas contra el riesgo cibernético sin imponer restricciones indebidas a sus negocios.

No hay tregua

Incluso después de años de discusión y debate, los ataques continúan e incluso se intensifican. La mayoría de las empresas no comprenden completamente la amenaza y no siempre se preparan tan bien como deberían.

Tampoco pretendemos tener todas las respuestas, pero esperamos que este resumen de los problemas y las trampas ayude a las empresas a calibrar su postura actual sobre el ciberriesgo.

Intensas amenazas

El gobierno de Estados Unidos ha identificado la ciberseguridad como “uno de los desafíos económicos y de seguridad nacional más serios que enfrentamos como nación”. En todo el mundo, la amenaza de los ciberataques está creciendo tanto en número como en intensidad.

Considere estas cifras: algunas empresas están invirtiendo hasta $500 millones en ciberseguridad; en todo el mundo, se crean más de 100 mil millones de líneas de código anualmente. Muchas empresas informan de miles de ataques cada mes, desde los más triviales hasta los extremadamente graves.

Cada año se infringen varios miles de millones de conjuntos de datos. Cada año, los piratas informáticos producen unos 120 millones de nuevas variantes de malware. En algunas empresas, cientos de personas informan al CISO, y él o ella, a su vez, informa al CSO, que tiene un equipo aún mayor.

Paradójicamente, la mayoría de las empresas que fueron víctimas de NotPetya y WannaCry probablemente habrían dicho que estaban bien protegidas en el momento de los ataques. Incluso cuando una empresa no es un objetivo principal, corre el riesgo de sufrir daños colaterales por malware no dirigido y ataques a software e infraestructura crítica de uso generalizado.

Y a pesar de todas las nuevas defensas, las empresas todavía necesitan alrededor de 99 días en promedio para detectar un ataque encubierto. Imagínese el daño que podría hacer un atacante no detectado en ese momento.

La creciente complejidad hace que las empresas sean más vulnerables

Mientras los piratas informáticos perfeccionan sus habilidades, los negocios se vuelven digitales, y eso hace que las empresas sean más vulnerables a los ciberataques.

Los activos que van desde nuevos diseños de productos hasta redes de distribución y datos de clientes ahora están en riesgo. Las cadenas de valor digitales también se están volviendo más complejas, utilizando la simplicidad de una conexión digital para unir a miles de personas, innumerables aplicaciones y una miríada de servidores, estaciones de trabajo y otros dispositivos.

Soluciones cibernéticas

Las empresas pueden tener un firewall de última generación y el último software de detección de malware. Y pueden tener operaciones de seguridad y procesos de respuesta a incidentes bien ajustados. Pero, ¿qué pasa con los proveedores externos? ¿O el estudio de diseño de moda que tiene acceso a la propiedad intelectual (IP) de una empresa? Es posible que hayan firmado un acuerdo de no divulgación, pero ¿pueden las empresas estar seguras de que su ciberseguridad está a la altura?.

Algunos casos recientes destacados de robo de propiedad intelectual en empresas de medios se centraron en servicios de posproducción de terceros con ciberseguridad inferior.

Errores comunes

La ciberseguridad corporativa está luchando por mantenerse al día con el ritmo vertiginoso del cambio en asuntos de riesgo cibernético. En la mayoría de los casos existen estos tres problemas típicos:

Delegar el problema a TI

Muchos altos ejecutivos tratan el riesgo cibernético como un problema técnico y lo delegan en el departamento de TI. Esta es una reacción natural, dado que la ciberseguridad presenta muchos problemas técnicos. Pero defender una empresa es diferente a proteger servidores. La defensa de una empresa requiere conciencia de riesgo, derivado de las prioridades comerciales; el modelo de negocio y la cadena de valor; y la cultura de riesgo, los roles, las responsabilidades y la dirección de la empresa. La TI por sí sola no puede abordar la ciberseguridad.

Inadecuado uso de recursos

Muchas empresas intentan labrar su camino hacia el éxito, asumiendo que la amenaza desaparecerá si persuaden a suficientes piratas informáticos de alto perfil para que se unan a las filas de la empresa. Pero incluso los mejores piratas informáticos no tienen la oportunidad de anticipar y defenderse de decenas de miles de ataques en millones de dispositivos en una red compleja.

Tratar el problema como un asunto trivial

Algunas empresas introducen nuevos protocolos y listas de verificación de ciberseguridad aparentemente cada dos días. Pero estos esfuerzos a menudo provocan un enfoque indebido en el cumplimiento real de la tarea en lugar de la resistencia necesaria. Incluso cuando todas las casillas de la lista de verificación del CISO están marcadas, es posible que la empresa no sea menos vulnerable a los ciberataques que antes.

Una nueva postura

Para preparar a las empresas globales para una era de conectividad integral, los ejecutivos necesitan un enfoque más adaptable, más completo y más colaborativo acerca del ciberriesgo. Hemos observado los siguientes principios utilizados por algunos de los principales equipos de ciberseguridad del mundo en empresas globales:

El riesgo cibernético debe tratarse como un asunto complejo

El riesgo cibernético se parece mucho a cualquier otro riesgo, ademas es crítico y complejo. Los elementos clave de su gestión incluyen la priorización de las amenazas relevantes y la definición de iniciativas para minimizar el riesgo. Además, las empresas deben establecer una estructura organizativa y un enfoque de gobernanza que aporten transparencia y permitan la gestión de riesgos en tiempo real.

Las empresas deben abordar el riesgo cibernético en un contexto empresarial

Los técnicos no pueden resolver el problema sin comprender los requisitos comerciales y organizativos subyacentes. Las empresas tienden a invertir en exceso en dispositivos técnicos y a invertir menos en la reducción de la complejidad y la cobertura constante de toda su cadena de valor, como la gestión de riesgos de los proveedores. El resultado es un sistema ineficaz.

Las empresas deben buscar y mitigar el riesgo cibernético en muchos niveles

Los datos, la infraestructura, las aplicaciones y las personas están expuestos a diferentes tipos y niveles de amenazas. Crear un registro completo de todos estos activos es tedioso y requiere mucho tiempo. Las empresas deben aprovechar las herramientas automatizadas para catalogar sus activos, para concentrarse mejor en aquellos que corren mayor riesgo.

La adaptación es fundamental

Tarde o temprano, todas las organizaciones se verán afectadas por un ciberataque. La organización, los procesos, la TI y los productos de una empresa deben revisarse y ajustarse a medida que evolucionan las ciberamenazas. En particular, las empresas deben ajustar las estructuras y los procesos de gestión de crisis y continuidad del negocio para cumplir con los cambios en el nivel de amenaza.

Construyendo resiliencia, paso a paso

Las ciberestrategias exitosas se construyen paso a paso, basándose en una comprensión integral de los procesos comerciales relevantes y la mentalidad de los posibles atacantes. Algunos pasos clave son priorizar los activos y riesgos y mejorar los controles y procesos.

Priorizar activos y riesgos por criticidad

Casi todas las empresas están expuestas a ataques automatizados. Más allá de estas amenazas no especificadas, la relevancia de otras categorías de ataques difiere significativamente, según la industria, el tamaño y la estructura de la empresa. Antes de invertir en ciberdefensas, los ejecutivos deben esforzarse por aclarar los riesgos más relevantes.

En cuanto a los activos, las empresas deben saber qué proteger. Las herramientas automatizadas pueden ayudar a los ejecutivos a realizar un inventario de todos los activos conectados a la red corporativa (es decir, TI, OT e IoT).

Con un poco de trabajo extra, incluso pueden catalogar a todas las personas que tienen acceso a la red, independientemente de si están en la nómina de la empresa o trabajan para un proveedor, cliente o proveedor de servicios. El inventario de activos y el registro de personas se pueden estudiar para ayudar a las empresas a priorizar sus iniciativas de seguridad, así como su respuesta a los ataques y la recuperación posterior.

Establecer controles diferenciados y procesos efectivos

La implementación contundente de controles en todos los activos es un factor clave detrás del desperdicio de ciberseguridad y la pérdida de productividad. No todos los activos necesitan los mismos controles. Cuanto más crítico sea el activo, más fuerte debería ser el control.

Los ejemplos de controles estrictos incluyen la autenticación de dos factores y la verificación de antecedentes de los empleados que tienen acceso a activos críticos.

¿Cómo una empresa construyó resiliencia?

Una empresa industrial global sufrió daños sustanciales por un ciberataque, sorprendiendo a sus líderes, quienes habían creído que sus procesos de seguridad de TI y una arquitectura de software altamente estandarizada no se violarían tan fácilmente.

Basándose en una autopsia exhaustiva, la compañía diseñó una serie de iniciativas para aumentar la resiliencia, que incluyen las siguientes:

  • Crear una función de OSC empoderada para aumentar la conciencia del riesgo cibernético y establecer una cultura de ciberseguridad en todos los niveles de la organización.
  • Implementar procesos de gestión de la continuidad del negocio global de vanguardia en toda la organización.
  • Crear redundancia de sistemas críticos (por ejemplo, copias de seguridad de Linux para sistemas de producción basados en Windows) para reducir la concentración de riesgos.
  • Mejorar los procesos para gestionar el riesgo de los proveedores

La compañía ahora piensa que su resiliencia ha mejorado, ya que ahora puede monitorear la concentración de riesgos, reducirlos sistemáticamente y tener la confianza de que las brechas en la gobernanza se han cubierto.

A medida que las empresas adoptan esta nueva postura, se debe prestar especial atención a las personas que lo harán posible. En última instancia, ganar la guerra contra el riesgo cibernético equivale a ganar la guerra por el cibertalento. Las funciones de ciberseguridad deben atraer, retener y desarrollar personas ágiles, innovadoras y de mente abierta. No importa cuán refinada sea la tecnología, es el factor humano el que ganará la guerra.

Tags: