Ciberseguridad: 6 Desafíos de las Empresas Actuales

Hoy por hoy hemos sido testigos de impresionantes ataques cibernéticos jamás vistos en la historia de TI, con consecuencias de alto impacto para las organizaciones de los diferentes sectores en todo el mundo. 

‍

Ataques de DDoS amplificados que alcanzan 1.7 Tbps de tráfico, ransomware que generó pérdidas financieras de 5,000 mdd (y que se estima suban a 11,500 mdd este 2019), malware móvil que merma a las empresas 16 mdd al año, robo de datos sensibles de millones de clientes que costó 439 mdd, hackeos a sistemas de pago electrónicos interbancarios con pérdidas de 300 mdp.

‍

Las cifras son realmente impactantes y están afectando a las empresas principalmente en lo operativo y financiero, incluso a los consumidores finales.

‍

Los ciberataques, el fraude y robo de datos son tan probables como los desastres naturales o el fracaso a la mitigación y adaptación del cambio climático; se encuentran en el top 5 de los riesgos globales con mayor probabilidad y de alto impacto, según el reporte The Global Risk Landscape 2019 del Foro Económico Mundial. 

‍

Por tal motivo, las organizaciones deben estar conscientes del significado de estos datos duros y tomar las acciones prioritarias que les permita desarrollar una estrategia de seguridad holística bien alineada a los objetivos de negocio. 

‍

Ya no deben preguntarse si serán víctimas de ataques cibernéticos, sino cuándo, o aún peor, desde cuándo lo han estado siendo.

‍

“Hay dos tipos de empresas: las que han sido hackeadas y las que aún no saben que han sido hackeadas" John Chambers, ex CEO de Cisco

Principales retos de ciberseguridad que enfrentan las empresas

‍

Analizando el panorama de ciberamenazas e impacto a las empresas en la actualidad, es indispensable hacer conciencia y reforzar algunos tópicos de negocio que son de suma importancia para los tomadores de decisión en las organizaciones de los diferentes sectores. 

‍

Mayor aún cuando hablamos de mantener una sostenibilidad competitiva en la nueva era, la Industria 4.0. 

‍

La banca, seguros, ISP’s, telecomm, industria, manufactura, farmacéutica, salud, educación, entre otros, enfrentan día con día 6 principales desafíos en los que una estrategia de seguridad es vital para cumplir con los objetivos de negocio:

‍

Agilidad y Adopción de Nuevos Modelos de Negocio: Las empresas requieren desarrollar nuevas y seguras estrategias comerciales que permitan el máximo retorno de sus inversiones de manera rápida para el éxito en la nueva economía digital. 

‍

El uso seguro de tecnologías emergentes como la computación en la nube, blockchain, big data, IoT, la automatización, machine learning o la IA, son un gran empuje. Sin la afinidad adecuada al concepto algunos efectos adversos pueden ser:

‍

• Tiempos de respuesta largos a las necesidades del mercado y en la producción, baja eficiencia operativa

‍

• Retorno de inversión lento, inclinación al CapEx que al OpEx

‍

• Aumento de la superficie de exposición a ciberamenazas, adopción de tendencias sin conciencia de ciberseguridad

‍

• Continuidad de Negocio: Es imperativo asegurar que la organización sea capaz de seguir operando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a los empleados, manteniendo su reputación y proporcionando la capacidad de continuar comercializando. 
  

Algunas consecuencias para el negocio por incidentes cibernéticos pueden ser:

‍

• Caída de servicios y operaciones críticas de negocio

‍

• Impactos monetarios por inactividad y acciones de recuperación

‍

• Insostenibilidad y pérdida de competitividad en el mercado

‍

• Cumplimiento Normativo: Las empresas necesitan equilibrar eficazmente el cumplimiento y la seguridad de la información, con un presupuesto justificado en las amenazas y riesgos a la organización alineado con los objetivos de negocio, no sólo para cumplir las regulaciones. 

Basarse en marcos de seguridad más que en mandatos regulatorios para implementar controles y tecnología de seguridad que faciliten el cumplimiento. Sin este equilibrio las organizaciones están expuestas a:

‍

• No conformidad en auditorías y normas regulatorias, afectación de objetivos de negocio

‍

• Fuertes infracciones y/o multas, costos directos e indirectos del incumplimiento

‍

• Pérdida de oportunidades de negocio, reputación negativa, déficit de ganancias

‍

• Pérdida de Información: Las consecuencias operativas y financieras de una filtración de datos sensibles para una organización dependen de variables como, el tiempo de detección de la fuga, el tipo y la cantidad de información robada, la competencia del equipo de respuesta a incidentes y la reacción hacia el público. 

El costo promedio de una violación de datos es de 3.86 mdd, y de no contar con un programa de seguridad, gente y controles adecuados, las empresas son propensas a:

‍

• Fuga y/o robo de información crítica sensible, violación de la confidencialidad y propiedad intelectual

‍

• Pérdidas financieras por multas y compensación a clientes, por labores de forense, investigación y remediación

‍

• Incumplimiento, pérdida de prestigio y competitividad, caída de clientes y nuevos negocios

‍

• Robo de Identidades y Fraude: El robo físico de información, el secuestro de datos a través de las TI y el engaño telefónico o presencial son las principales vías que los ciberdelincuentes utilizan para recopilar la información y cometer el robo de identidades y/o fraudes financieros. 

La concientización en las empresas a nivel de usuario es primordial además de controles de seguridad para la gestión de identidades y acceso. Sin su correcta gestión del riesgo e impacto, las empresas se exponen a:

‍

• Robo de información confidencial, phishing, suplantación de identidades

‍

• Violación a la privacidad de los usuarios, víctimas de extorsión y amenazas, baja de clientes

‍

• Pérdidas financieras por demandas y compensación a clientes, emisión de nuevas cuentas/tarjetas de crédito

‍

• Seguridad en Movimiento: La proliferación y adopción acelerada de los dispositivos móviles en el mundo, así como la movilidad que brindan las tecnologías inalámbricas, 4G y 5G extienden los límites de la organización. El BYOD, IoT, Shadow IT o la nube agregan valor en la productividad empresarial, sin embargo, son de los principales retos en materia de ciberseguridad. 

Sin el correcto análisis del panorama y una estrategia de seguridad móvil, algunos agravios para las empresas son:

‍

• Brechas de seguridad originadas fuera del corporativo, conexión a redes inseguras

‍

• Propagación de malware por infección externa, exposición de activos corporativos e información confidencial

‍

• Ataques cibernéticos sofisticados y dirigidos al usuario final, infiltración de amenazas externas.

‍

• Seguridad de la Información: La Conciencia y la Participación de los Colaboradores es Crucial

Sólo 26 % de los problemas típicos en la red de las empresas se resuelve con tecnología, sin embargo, el otro 74% involucra gente capacitada y procesos bien definidos; tres áreas correctamente equilibradas, y ser conscientes de ello es un factor decisivo para el éxito en seguridad. 

‍

Aquí la función del CISO (Chief Information Security Officer) en las organizaciones toma un papel muy relevante en la toma de decisiones de la alta dirección; primeramente identificando cuáles son los tópicos de negocio clave que dependen de la estrategia de seguridad de la información para el cumplimiento de las metas generales de la compañía. 

‍

Debe desempeñar una labor vital de evangelización de la seguridad con sus homólogos, comprendiendo y fomentando la colaboración entre las divisiones, educar al personal, llevar a cabo simulacros. 

‍

Esto facilitará el aseguramiento íntegro de la información equilibradamente en función del negocio, por medio del establecimiento de criterios para la elaboración de presupuestos basados en los riesgos que enfrentan, sabiendo realizar el seguimiento de estos resultados para informar las inversiones y ser estratégicos en la implementación de proveedores y soluciones. 

‍

En una era cada vez más digital, la conciencia y la participación de los colaboradores en la estrategia de ciberseguridad es crucial.