mitos segurança cibernética

Desmitificamos los 5 Mitos de Cyber

Diríjase a la sección

Visión General

Recientemente, el estudio “Global Business Technographics Security Survey 2016”, de la firma de investigación Forester, encontró que el 49% de los entrevistados, responsables de la toma de decisiones, habían experimentado al menos una infracción cibernética durante los últimos 12 meses. De las personas encuestadas, el 55% dijo haber sufrido un incidente interno que involucraba a un empleado o un socio comercial de un tercero.

La encuesta también clasificó los principales métodos de ataque cibernético externo: vulnerabilidades de software, interacción del usuario (robo de identidad, enlaces maliciosos o archivos adjuntos al correo electrónico) y uso de credenciales robadas (contraseñas de inicio, claves de encriptación). Estas estadísticas, e innumerables otras, demuestran la necesidad de que las empresas y los consumidores aborden los fundamentos de la ciberseguridad.

Sin la implementación de una combinación entre personas adecuadas, procesos y gobernanza, junto a soluciones tecnológicas efectivas, las organizaciones corren un riesgo mayor de sufrir un daño financiero significativo. Otras áreas del negocio, como ,recursos humanos, operaciones y cumplimiento regulatorio, entre otras, podrían verse afectadas por un ataque cibernético.

En la medida en que las empresas líderes operan programas de riesgo cibernético más maduros, las organizaciones que se quedan atrás a menudo se suscriben a una serie de “mitos” comunes sobre dónde enfocan sus esfuerzos de seguridad. Estos mitos impiden la evaluación precisa de los riesgos y las exposiciones y obstaculizan la implementación de medidas proactivas que puedan proteger los activos críticos y gestionar con éxito una violación cuando se produce.


En Profundidad

Rocco Grillo, líder global de Cyber Resilience Services en Stroz Friedberg, una compañía de Aon, describe cinco mitos cibernéticos comunes que ve regularmente al trabajar con empresas de todos los tamaños, en todos los sectores. De hecho, la adopción de cualquiera de estas perspectivas puede conducir a malas prácticas de gestión del riesgo cibernético.

Mito 1: Cyber es solo un problema de IT

El Departamento de Tecnologías de la Información (IT) trabaja a tiempo completo para implementar, actualizar y mantener la tecnología de la empresa. Sin embargo, a menudo también se espera que sea el mismo departamento quien administre los riesgos asociados con esa tecnología. A medida que las amenazas cibernéticas continúan aumentando, los departamentos de IT pueden verse abrumados. La responsabilidad de administrar el riesgo cibernético debe recaer principalmente en los profesionales de la seguridad de la información, independientemente de si la organización cuenta con un director de seguridad de la información (CISO) a tiempo completo.

Realidad: La preparación cibernética comienza en las altas esferas y afecta a toda la organización

Tener una visión integral de cómo el riesgo cibernético afecta a la empresa a través de varias funciones es responsabilidad de toda la organización, con los altos ejecutivos desempeñando un papel importante. Los ejecutivos, incluida la junta de directores, deben estar familiarizados con los problemas específicos de riesgo que afectan la postura de seguridad de la organización, especialmente con respecto a sus activos más importantes o las “joyas de la corona”, y luego asegurarse de que los departamentos adecuados participen en la elaboración de una estrategia integral. De esta forma, la seguridad no solo está alineada con IT, sino que también está vinculada al negocio y al equipo de liderato ejecutivo.

Muchas compañías llevan a cabo ejercicios de simulacro de cyber amenazas para simular escenarios específicos que se desarrollarían en un ataque o violación cibernética en la vida real, y están involucrando cada vez más al equipo ejecutivo y a la junta de directores. Las empresas maduras, con procesos efectivos de gestión de gobernanza y gestión de riesgos, creen que es imperativo incluir a los altos ejecutivos del negocio en estas situaciones. De hecho, estos ejercicios son más exitosos cuando se concentran en escenarios que involucran las “joyas de la corona” de una empresa, lo que les permite priorizar sus esfuerzos hacia los activos más importantes.

Establecer el tono desde la cúpula, ayuda a crear aceptación en los niveles más altos para evaluar la exposición al riesgo cibernético de la empresa. Esta perspectiva también ayuda a los equipos a implementar los remedios necesarios y los programas de seguridad cibernética de forma proactiva para protegerse del peor de los escenarios en caso de un ataque. Además, los equipos de seguridad de la información tendrían el respaldo para implementar mejores programas de capacitación y concientización, políticas y procedimientos en toda la organización.

Mito 2: Las soluciones tecnológicas son infalibles

Si bien la tecnología es claramente una parte integral en la gestión eficaz del riesgo cibernético, las inversiones en tecnología por sí solas no solucionarán el problema. Si una empresa centra sus esfuerzos exclusivamente en la tecnología diseñada para detectar amenazas y perpetradores externos, puede pasar por alto el impacto del comportamiento humano -malicioso o no- en la ciberseguridad. Las investigaciones muestran que de las empresas que experimentaron violaciones de datos en 2016, las personas con información privilegiada (es decir, las personas con acceso a los sistemas e información de la organización) fueron responsables del 43% de la pérdida de datos. Ya sea simplemente la curiosidad del empleado, o el descuido, estos puntos ciegos son a menudo los puntos más débiles en la armadura de una compañía. Cada vez más, las tácticas maliciosas están diseñadas para eludir las sofisticadas tecnologías de seguridad y explotar el simple error humano.

Realidad: La tecnología puede ser parte de la solución, pero no es la solución completa

Las empresas necesitan no solo verificar que su perfil de tecnología esté actualizado, sino también implementar y mantener su tecnología de manera efectiva. Para minimizar el “riesgo interno”, por ejemplo, las organizaciones deben evitar que todos tengan acceso a la información y a los sistemas más críticos y sensibles. Cualquier acceso a los activos críticos de la compañía debe regirse por procesos y procedimientos estrictos basados en el principio de otorgar acceso privilegiado.

Priorizar los programas orientados al conocimiento, la educación y la capacitación de los empleados también es un paso importante para abordar las vulnerabilidades comunes relacionadas con los seres humanos, como los archivos maliciosos adjuntos en los correos electrónicos, robo de identidad, tácticas de ingeniería social y contraseñas débiles. Garantizar que toda la organización ejerza una buena higiene cibernética, como por ejemplo, mejores prácticas de administración de contraseñas, debe ser una prioridad.

Las tecnologías de seguridad son una parte fundamental de cualquier programa, pero pueden ser burladas si no se cuenta con la experiencia y los procesos adecuados para implementarlas, ejecutarlas, supervisarlas y mantenerlas. Este esfuerzo incluye la instalación de un software antivirus relevante y la actualización periódica del hardware. Con las herramientas de seguridad cibernética, a menudo vistas como infalibles en un programa de seguridad, la configuración y el mantenimiento deben centrarse en minimizar los falsos positivos en las alertas de seguridad y garantizar que se cuente con los recursos adecuados para analizarlos.

Desde IT hasta el departamento legal, de cumplimiento, de recursos humanos, innovación empresarial y otros, es fundamental crear un equipo multidisciplinario que pueda evaluar, gestionar y responder a los riesgos dentro de los diferentes departamentos y funciones. En última instancia, incluso con la tecnología más sofisticada y avanzada, una cultura de seguridad debe permear en la organización.

Mito 3: Cumplir las normas equivale a seguridad

Como se vio más recientemente con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, los reguladores intervienen para abordar la privacidad del consumidor y las preocupaciones sobre los datos. Si bien el cumplimiento de estas regulaciones es necesario para evitar multas, demandas colectivas y otros asuntos, el cumplimiento por sí solo no abordará los “ciberataques” ni los compromisos de seguridad. Por ejemplo, una empresa puede cumplir con la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA), la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y otras medidas o requisitos regulatorios y aún así experimentar un incumplimiento. El cumplimiento proporciona una mera instantánea en el perfil de seguridad de una empresa en un momento determinado, mientras que la seguridad efectiva es un proceso continuo de mejora.

Realidad: El cumplimiento normativo es solo el mínimo absoluto

Si bien los reguladores diseñan las reglamentaciones teniendo en cuenta la seguridad efectiva, los requisitos de cumplimiento deben considerarse como una línea de base para respaldar la diligencia debida en seguridad cibernética. Sin embargo, el cumplimiento no debe verse como el objetivo final de la “ciberseguridad”, sino como una oportunidad para mejorar la higiene general de los datos de forma continua. Invertir en el cumplimiento de las normas de seguridad cibernética también es una oportunidad para ganar puntos de seguridad adicionales.

Por ejemplo, las compañías pueden identificar -o reclasificar- los activos críticos y priorizar las protecciones contra ellos. El cumplimiento también es una oportunidad para trabajar con las partes interesadas en toda la organización para definir la tolerancia de la organización hacia el riesgo, lo que ayuda al equipo de seguridad a navegar mejor las decisiones de seguridad cibernética.

Mito 4: Solo las industrias que albergan datos sensibles están bajo amenaza directa

Las empresas que tienen datos confidenciales, incluida información de identificación personal (PII), datos de salud, datos de tarjetas de crédito e información médica personal, son objetivos obvios para los ciberataques. Como tal, ciertas industrias, como los servicios financieros o de atención médica, tradicionalmente han estado más fuertemente reguladas. Sin embargo, muchas industrias deben proteger secretos comerciales, propiedad intelectual y datos confidenciales. Por ejemplo, la convergencia de los mundos físico y digital a través del “Internet of Things” significa que las empresas se enfrentan a riesgos que van más allá de las violaciones de datos. Por ejemplo, en los sectores de fabricación, petróleo, gas y automotriz, los ciberataques pueden ocasionar una interrupción del negocio grave. Las regulaciones de largo alcance también pueden afectar sectores como la educación.

Realidad: Las empresas de todos los tamaños, en todas las industrias, tienen vulnerabilidades

Gartner predice que para finales de 2018, habrá el doble de dispositivos, propiedad de los empleados, que dispositivos propiedad de la compañía utilizados para el trabajo. El año pasado, solamente las empresas tenían más de tres mil millones de conexiones con “Internet of Things”, lo que introdujo innumerables riesgos. Además del crecimiento de la tecnología y el aumento de los puntos de entrada para las infracciones, los actores cibernéticos maliciosos también han cambiado su enfoque. Cada vez más, como lo han demostrado los recientes ataques de ransomware, los atacantes están explotando vulnerabilidades con el objetivo específico de interrupción, así como de obtener ganancias financieras. Por ejemplo, el ransomware que exige pocos cientos de dólares a los usuarios está diseñado para causar estragos, no necesariamente para obtener beneficio económico. Todas las organizaciones, independientemente del tamaño o la industria, deberían pensar en sus exposiciones específicas al riesgo cibernético y poner en práctica un plan proactivo para mejorar su resiliencia general.

Mito 5: Las empresas pueden subcontratar una función junto con la responsabilidad y el riesgo

Las empresas de todos los tamaños subcontratan procesos regulados, como el manejo de transacciones de la industria de tarjetas de pago (PCI). El razonamiento es que el proceso de evaluación y verificación del cumplimiento es costoso y no tiene sentido, desde el punto de vista económico, especialmente si la empresa no está manejando una gran cantidad de transacciones. Cuando una organización subcontrata una función de esta manera, a menudo tiene la percepción errónea de que la responsabilidad del cumplimiento también se externaliza al tercero.

Realidad: Las empresas en última instancia poseen el riesgo

Incluso cuando se subcontratan las transacciones y la gestión de cualquier información regulada, la empresa sigue siendo responsable de esa información en caso de un ciberataque. En el caso de PCI, la compañía que procesó la tarjeta de crédito será responsable de garantizar que se implementen las prácticas adecuadas para proteger los datos recopilados en la transacción. Esta responsabilidad es así incluso si la responsabilidad del incumplimiento recae en alguien del “call center” del tercero que procesa todas las transacciones con tarjeta de crédito de la compañía. En muchos casos, ese tercero también puede subcontratar parte o la totalidad de una función a una “cuarta parte”. Este escenario es solo un ejemplo que demuestra la necesidad de que las organizaciones subcontraten funciones para implementar procesos eficaces de debida diligencia de riesgos de terceros para asegurar que todos sus proveedores cumplan.

Todo lo “cyber” está evolucionando rápidamente, por lo que identificar dónde se encuentra el riesgo puede ser un objetivo movedizo. Es por eso que las empresas deben permanecer vigilantes. Al separar los mitos de las realidades, las empresas pueden estar en una mejor posición para montar una defensa efectiva contra las amenazas cibernéticas.