¿Qué significa la ciberseguridad para su negocio?

La ciberseguridad es un problema comercial que se ha presentado como tal en las salas de juntas durante años y, sin embargo, la responsabilidad aún recae principalmente en los líderes de TI. 

En la encuesta de la Junta Directiva de Gartner de 2022 , el 88 % de los miembros de la junta clasificaron la ciberseguridad como un riesgo comercial; solo el 12% lo llamó un riesgo tecnológico. Aún así, una encuesta de 2021 mostró que el CIO, el director de seguridad de la información (CISO) o su equivalente eran responsables de la ciberseguridad en el 85 % de las organizaciones.

Las organizaciones se han vuelto mucho más vulnerables a las ciberamenazas porque la información y la tecnología digitales ahora están muy integradas en el trabajo diario. Pero los propios ataques, que se dirigen tanto a la información como a la infraestructura crítica, también se están volviendo mucho más sofisticados. 

Los incidentes de riesgo cibernético pueden tener consecuencias operativas, financieras, reputacionales y estratégicas para una organización, todas las cuales tienen costos significativos. Esto ha hecho que las medidas existentes sean menos efectivas y significa que la mayoría de las organizaciones necesitan mejorar su juego de ciberseguridad. 

¿Cuál es el impacto en la seguridad cibernética de la invasión rusa de Ucrania?

La invasión rusa de Ucrania está marcada por ataques de malware tanto militares como destructivos . A medida que se expande la invasión, crece la amenaza de ataques a la infraestructura crítica y el potencial de apagones fatales. Ningún negocio es inmune. 

Muchas organizaciones ya enfrentan una variedad de fallas de seguridad al acecho , pero ahora, es especialmente importante confiar en la inteligencia de amenazas adaptada a su organización y buscar orientación de sus contactos gubernamentales sobre cómo prepararse para los ataques que quizás no esté listo para manejar. 

A medida que el C-suite elabora estrategias para su respuesta a la invasión rusa de Ucrania, priorice la planificación de la seguridad cibernética. Enfócate en lo que puedes controlar. Asegúrese de que sus planes de respuesta a incidentes estén actualizados. Aumente la conciencia y la vigilancia para detectar y prevenir el aumento potencial de amenazas, pero tenga en cuenta el estrés y la presión adicionales que siente su organización. Un error humano debido a estas fuerzas puede tener un mayor impacto en su organización que un ciberataque real.

¿Cuáles son las preocupaciones de ciberseguridad para la infraestructura crítica?

Los sectores de infraestructura crítica incluyen la producción y transmisión de energía, agua y aguas residuales, atención médica y alimentos y agricultura. En muchos países, la infraestructura crítica es propiedad del estado, mientras que en otros, como EE. UU., la industria privada posee y opera una porción mucho mayor.

Cada uno de estos sectores no solo es fundamental para el funcionamiento apropiado de las sociedades modernas, sino que también son interdependientes, y un ataque cibernético en uno puede tener un impacto directo en otros. Los atacantes eligen cada vez más implementar ataques en sistemas ciberfísicos (CPS).

Los riesgos eran muy reales incluso antes de que Rusia invadiera Ucrania. Los ataques a organizaciones en sectores de infraestructura crítica aumentaron de menos de 10 en 2013 a casi 400 en 2020, un aumento del 3900 %. No sorprende, entonces, que los gobiernos de todo el mundo exijan más controles de seguridad para CPS de misión crítica . 

La invasión rusa de Ucrania aumenta la amenaza de ciberataques para todas las organizaciones . Necesita desarrollar una estrategia de seguridad de CPS holística y coordinada al mismo tiempo que incorpora en la gobernanza directivas de seguridad emergentes para la infraestructura crítica. El “ Memorándum de seguridad nacional sobre la mejora de la seguridad cibernética para los sistemas de control de infraestructuras críticas ” de EE. UU. , por ejemplo, prioriza los sectores de tuberías de electricidad y gas natural, seguidos por los sectores de agua/aguas residuales y productos químicos.

El quid del problema es que las herramientas de seguridad tradicionales centradas en la red y de soluciones puntuales ya no son suficientes para combatir la velocidad y la complejidad de los ataques cibernéticos actuales. Este es particularmente el caso, ya que la tecnología operativa (OT), que conecta, monitorea y asegura las operaciones industriales (máquinas), continúa convergiendo con la columna vertebral tecnológica que procesa la tecnología de la información (TI) de la organización. 

Realice un inventario completo de las soluciones de seguridad de OT/ Internet de las cosas (IoT) en uso dentro de su organización. Realice también una evaluación de las opciones de seguridad basadas en plataformas independientes o multifunción para acelerar aún más la convergencia de la pila de seguridad de CPS.

¿Qué es un ciberataque?

Los tipos más comunes y notables de ataques de ciberseguridad incluyen:

• Ataques basados ​​en ingeniería social y phishing.
  Los atacantes engañan a los usuarios legítimos con las credenciales de acceso adecuadas para que tomen medidas que abren la puerta a usuarios no autorizados, lo que les permite transferir información y datos (exfiltración de datos).
• Riesgos de servicios orientados a Internet (incluidos los servicios en la nube).
  Estas amenazas se relacionan con la falla de las empresas, socios y proveedores para proteger adecuadamente los servicios en la nube u otros servicios orientados a Internet (por ejemplo, la falla en la administración de la configuración) de las amenazas conocidas.

• Compromisos de cuenta relacionados con la contraseña.
  Los usuarios no autorizados implementan software u otras técnicas de piratería para identificar contraseñas comunes y reutilizadas que pueden explotar para obtener acceso a sistemas, datos o activos confidenciales.

• Mal uso de la información.
  Los usuarios autorizados difunden de forma inadvertida o deliberada o hacen un mal uso de la información o los datos a los que tienen acceso legítimo.

• Ataques relacionados con la red y de intermediario.
  Los atacantes pueden espiar el tráfico de red no seguro o redirigir o interrumpir el tráfico como resultado de la falla en el cifrado de mensajes dentro y fuera del firewall de una organización.

• Ataques a la cadena de suministro.
  Los socios, proveedores u otros activos o sistemas (o códigos) de terceros se ven comprometidos, creando un vector para atacar o extraer información de los sistemas empresariales.

• Ataques de denegación de servicio (DoS).
  Los atacantes abruman los sistemas empresariales y provocan un cierre o una ralentización temporal. Los ataques DoS distribuidos (DDoS) también inundan los sistemas, pero mediante el uso de una red de dispositivos. (Consulte también “¿Qué es un ataque DDos?”)

• Secuestro de datos.
  Este software malicioso infecta los sistemas de una organización y restringe el acceso a datos o sistemas cifrados hasta que se paga un rescate al perpetrador. Algunos atacantes amenazan con liberar datos si no se paga el rescate.

¿Qué es un ataque DDoS?

Los atacantes cibernéticos implementan ataques DDoS mediante el uso de una red de dispositivos para saturar los sistemas empresariales. Si bien esta forma de ataque cibernético es capaz de cerrar el servicio, la mayoría de los ataques en realidad están diseñados para causar interrupciones en lugar de interrumpir el servicio por completo.

Ahora se informan miles de ataques DDoS cada día, y la mayoría se mitigan como un curso normal de negocios sin que se requiera atención especial. Pero los atacantes cibernéticos son capaces de aumentar el alcance del ataque, y los ataques DDoS continúan aumentando en complejidad, volumen y frecuencia. Esto presenta una amenaza creciente para la seguridad de la red incluso de las empresas más pequeñas.

Los ataques DDos también se dirigen cada vez más a las aplicaciones directamente. Por lo tanto, una defensa exitosa y rentable contra este tipo de amenazas requiere un enfoque de varios niveles:

• Interno: defensas dentro de su red detrás del firewall.
• Edge: soluciones locales (dispositivos físicos en o frente a los firewalls y enrutadores de borde de la empresa)
• Proveedor externo/en la nube: fuera de la empresa, como proveedores de servicios de Internet (ISP)
• Personas y procesos: incluya la respuesta a incidentes y el libro de estrategias de mitigación junto con los conjuntos de habilidades necesarios para detener un ataque .

La mitigación de DDoS requiere habilidades distintas de las necesarias para defenderse de otros tipos de ataques cibernéticos, por lo que la mayoría de las organizaciones necesitarán aumentar sus capacidades con soluciones de terceros.

¿Qué son los controles de ciberseguridad y la ciberdefensa?

Una gama de áreas de control de TI y sistemas de información forman la línea técnica de defensa contra los ataques cibernéticos. Éstos incluyen:

• Seguridad de red y perimetral.
  Un perímetro de red marca el límite entre la intranet de una organización y la Internet externa o pública. Las vulnerabilidades crean el riesgo de que los atacantes puedan usar Internet para atacar los recursos conectados a él.

• Puesto final de Seguridad.
  Los puntos finales son dispositivos conectados a la red, como computadoras portátiles, teléfonos móviles y servidores. La seguridad de puntos finales protege estos activos y, por extensión, los datos, la información o los activos conectados a estos activos de actores o campañas maliciosos.

• Seguridad de la aplicación.
  Protege los datos o el código dentro de las aplicaciones, tanto tradicionales como basadas en la nube, antes y después de implementar las aplicaciones.

• Seguridad de datos.
  Comprende los procesos y las herramientas asociadas que protegen los activos de información confidencial, ya sea en tránsito o en reposo. Los métodos de seguridad de datos incluyen el cifrado, que garantiza que se eliminen los datos confidenciales, y la creación de copias de seguridad de datos.

• Gestión de identidades y accesos (IAM).
  IAM permite que las personas adecuadas accedan a los recursos correctos en el momento correcto por las razones correctas.

• Arquitectura de confianza cero.
  Elimina la confianza implícita (“Este usuario está dentro de mi perímetro de seguridad”) y la reemplaza con confianza explícita y adaptativa (“Este usuario se autentica con autenticación multifactor desde una computadora portátil corporativa con un paquete de seguridad en funcionamiento”).

Los controles tecnológicos no son la única línea de defensa contra los ciberataques. Las organizaciones líderes examinan críticamente su cultura de riesgo cibernético y la madurez de las funciones relevantes para expandir su defensa cibernética. Esto incluye crear conciencia en los empleados y comportamientos seguros.

¿Por qué falla la ciberseguridad?

En pocas palabras, la ciberseguridad falla debido a la falta de controles adecuados. Ninguna organización es 100 % segura y las organizaciones no pueden controlar las amenazas o los malhechores. Las organizaciones solo controlan las prioridades y las inversiones en preparación para la seguridad. 

Para decidir dónde, cuándo y cómo invertir en controles de TI y defensa cibernética, compare sus capacidades de seguridad (para personas, procesos y tecnología) e identifique las brechas para llenar y las prioridades para apuntar.

En particular, el elemento humano ocupa un lugar destacado en los riesgos de ciberseguridad. Los ciberdelincuentes se han convertido en expertos en ingeniería social y utilizan técnicas cada vez más sofisticadas para engañar a los empleados para que hagan clic en enlaces maliciosos. Es fundamental asegurarse de que los empleados tengan la información y los conocimientos para defenderse mejor contra estos ataques.

¿Cuál es el futuro de la ciberseguridad?

El entorno en sí mismo está evolucionando de varias maneras clave:

• La creciente complejidad de la red, la infraestructura y la arquitectura crea una mayor cantidad y variedad de conexiones que pueden ser objeto de ataques cibernéticos.

• La creciente sofisticación de las amenazas y la deficiente detección de amenazas dificultan el seguimiento del creciente número de controles, requisitos y amenazas de seguridad de la información.

• Las vulnerabilidades de terceros persistirán a medida que las organizaciones continúen luchando por establecer controles mínimos pero sólidos para terceros, especialmente porque la mayoría de los proveedores, en particular los proveedores de la nube, dependen de terceros (que se convierten en sus terceros, etc.).

• La deuda de seguridad cibernética ha crecido a niveles sin precedentes a medida que se implementan nuevas iniciativas digitales, con frecuencia basadas en la nube pública, antes de que se aborden los problemas de seguridad.

• Los sistemas ciberfísicos están diseñados para orquestar detección, computación, control, redes y análisis para interactuar con el mundo físico (incluidos los humanos). La conexión de los mundos digital y físico (como en los edificios inteligentes) presenta un área de vulnerabilidad única y creciente.

¿Quién es el responsable de gestionar la ciberseguridad?

La ciberseguridad está interconectada con muchas otras formas de riesgo empresarial, y las amenazas y tecnologías están evolucionando rápidamente. Dado esto, múltiples partes interesadas deben trabajar juntas para garantizar el nivel adecuado de seguridad y protección contra los puntos ciegos. Pero a pesar de la creciente opinión de que la ciberseguridad es un riesgo comercial, la responsabilidad de la ciberseguridad aún recae principalmente sobre los hombros de los líderes de TI. 

Una encuesta de Gartner de 2021 encontró que el CIO, CISO o su equivalente eran responsables de la ciberseguridad en el 85 % de las organizaciones. Los altos directivos que no pertenecen a TI tenían responsabilidad en solo el 10 % de las organizaciones encuestadas, y solo el 12 % de los directorios tienen un comité de seguridad cibernética dedicado a nivel de directorio.

Para garantizar una seguridad adecuada, los CIO deben trabajar con sus directorios para garantizar que la responsabilidad, la rendición de cuentas y el gobierno sean compartidos por todas las partes interesadas que toman decisiones comerciales que afectan la seguridad de la empresa.

¿Qué métricas de ciberseguridad necesito?

La mayoría de las métricas de ciberseguridad que se utilizan hoy en día son indicadores de seguimiento de factores que la organización no controla (p. ej., “¿Cuántas veces fuimos atacados la semana pasada?”). En su lugar, concéntrese en las métricas relacionadas con resultados específicos que demuestren que su programa de ciberseguridad es creíble y defendible.

Gartner espera que para 2024, el 80 % de la magnitud de las multas que imponen los reguladores después de una violación de seguridad cibernética se deba a que no se demostró que se cumplió con el deber de diligencia debida, a diferencia del impacto de la violación.

Gartner aboga por el modelo “CARE” de métricas basadas en resultados (ODM):

¿Cuánto debo gastar en ciberseguridad?

La cantidad que gasta en ciberseguridad no refleja su nivel de protección, ni lo que otros gastan informa su nivel de protección en comparación con el de ellos.

La mayoría de las representaciones monetarias de la preparación para el riesgo y la seguridad (es decir, “¿Es un riesgo de $5 millones o un riesgo de $50 millones?”) no son creíbles ni defendibles e, incluso cuando son creíbles, no respaldan la toma diaria de decisiones relacionadas con las prioridades. e inversiones en seguridad.

Utilice métricas basadas en resultados para permitir una gobernanza más eficaz sobre las prioridades e inversiones en ciberseguridad. Los ODM no miden, informan ni influyen en las inversiones por tipo de amenaza; está fuera de su control alinear el gasto para abordar el ransomware, los ataques o la piratería. Más bien, alinee las inversiones con los controles que abordan esas amenazas. 

Por ejemplo, una organización no puede controlar si sufre un ataque de ransomware, pero puede alinear las inversiones con tres controles críticos: copia de seguridad y restauración, continuidad del negocio y capacitación en phishing. Los ODM de estos tres controles reflejan qué tan bien está protegida la organización contra el ransomware y cuánto cuesta ese nivel de protección: un análisis basado en el negocio que cuenta una historia convincente para la junta directiva y otros líderes sénior.

Tenga en cuenta que un control puede ser cualquier combinación de personas, procesos y tecnología que posea, administre e implemente para crear un nivel de protección para la organización. Adopte un enfoque de optimización de costos para evaluar el costo (inversión), el valor (beneficio) y el nivel de riesgo administrado para cada control. Generalmente, una mejor protección (menor riesgo) será más costosa.