Algunos expertos predicen que para 2020 habrá 200 mil millones de ‘cosas’ conectadas. Automóviles, aviones, casas, ciudades e incluso animales están siendo conectados. El software está integrado en todas partes. Esto está cambiando la forma en que vivimos y cómo nos comportamos e interactuamos con el mundo que nos rodea. A medida que la tecnología se integra más y más profundamente en nuestras vidas, nos volvemos más y más dependientes de ella. Pero esta dependencia nos hace vulnerables a cualquier ataque o falla tecnológica.

Es por esto que presentamos los resultados globales (aplicados a empresas peruanas) de la 19° Encuesta Global de Seguridad de la Información: El camino hacia la resiliencia cibernética, presentada por EY Perú (Ernst & Young). La publicación analiza las respuestas de 1,735 CIOs, CEOs y otros ejecutivos, mostrando las fortalezas de las organizaciones en sus capacidades de seguridad cibernética y en qué pueden mejorar.

Entre los principales hallazgos del estudio tenemos que, a diferencia de lo que podríamos suponer, las amenazas no siempre tienen que venir de fuera, ni ser malintencionadas. De acuerdo a los cuadros presentados, cuando se preguntó a los responsables de las empresas (a nivel global) sobre la fuente más probable de un ataque, la mayoría (55%) sostuvo que se trataría de un colaborador descuidado. Por supuesto, el malware no se queda atrás (51%) ni el phishing (51%), pero es destacable la importancia que ha cobrado el sector interno.

Los resultados de la encuesta indican la necesidad de mejorar la resiliencia en su capacidad de responder y recuperarse de incidentes cibernéticos para que las operaciones seguras y confiables puedan ser restauradas y mantenidas. Según EY Perú (Ernst & Young), “la resiliencia cibernética es un subconjunto de la resiliencia del negocio.” Se centra en la eficacia de las utilidades en la implementación de tres componentes críticos:

1.Sentir
Sentir es la capacidad de las organizaciones para predecir y detectar las amenazas cibernéticas.

2.Resistir
Los mecanismos de resistencia son básicamente los escudos corporativos. Esto inicia con cuánto riesgo una organización está preparada para tomar a través de su ecosistema, seguido por el establecimiento de líneas de defensa.

3.Reaccionar
Si “Sentir” falla (la organización no detectó la amenaza que venía) y hay un desajuste en “Resistir” (las medidas de control no fueron lo suficientemente fuertes), las organizaciones deben estar listas para lidiar con la intrusión, con capacidades de respuesta y listas para gestionar la crisis.

En los últimos años, las organizaciones han mejorado significativamente sus capacidades de ‘Sentir’, utilizando inteligencia cibernética para predecir lo que pueda ocurrir, instalando mecanismos de supervisión continua, identificando y gestionando vulnerabilidades e instalando Defensas Activas.

Según los últimos datos de la encuesta, este año el 50% de las organizaciones considera que es probable que sean capaces de predecir y detectar un ataque cibernético sofisticado, el mayor nivel de confianza que hemos observado desde 2013. Sin embargo, a pesar de estos puntos positivos, aún no son suficientes las organizaciones que están tomando las medidas necesarias para evitar ataques cibernéticos: En el Perú, 97% no tienen Centros Operativos de Seguridad, 90% no tienen un programa de inteligencia contra amenazas y el 97% no tienen una capacidad de identificación de vulnerabilidades formal.

Para EY Perú (Ernst & Young), es importante enfocarse en riesgos cibernéticos, no solamente en seguridad cibernética. Los ataques están tomando formas diferentes constantemente y son cada vez más complejos. Casi la mitad de los encuestados (48%) dicen que sus controles de seguridad desactualizados son un área de alta vulnerabilidad.

Según afirma el informe, “Si bien la naturaleza de los ataques ha cambiado, resistir, defender, mitigar y neutralizar ataques han sido durante mucho tiempo el núcleo necesario de la seguridad cibernética”. Y es que “La capacidad de resistencia requiere un enfoque multifacético. Las defensas se suelen considerar como barreras difíciles, como el cifrado o firewalls que detienen y/o neutralizan un ataque; pero hay otras formas en que las organizaciones pueden minimizar el impacto de un ataque y ayudar a la organización a resistir.”

Entre el 2013 y el 2016, ha habido un incremento en los presupuestos, con un 53% de los encuestados este año diciendo que sus presupuestos aumentaron en los últimos 12 meses. Sin embargo, las organizaciones dicen que se necesita más financiamiento, el 61% citando las limitaciones presupuestarias como un desafío y el 69% de los encuestados diciendo que necesitan hasta un 50% más de presupuesto.

Una vez que la empresa ya ha recibido un ataque, el siguiente paso es ‘Reaccionar’ adecuadamente. La gestión de la continuidad de negocio (Business Continuity Management – BCM por sus siglas en inglés) ha sido la principal habilidad de una organización para reaccionar ante una amenaza, ataque u otra interrupción en sus operaciones durante muchos años.

Aunque las capacidades de ‘Reacción’ se desempeñan bien en las clasificaciones de prioridad, el dinero invertido en esta área es aun relativamente bajo. Quedó claro que ‘Reacción’ es el área donde la mayor parte del trabajo todavía está por hacerse. Cuanto sea más claro que el escudo corporativo no puede resistir a todas las amenazas, más atención recibirá la capacidad de Reacción.

Los problemas de seguridad cibernética y los ataques causan miles de millones de dólares en pérdidas cada año. Está claro que hay problemas crecientes de seguridad cibernética. Y más allá de tener un impacto económico, también tienen un impacto en nuestra vida cotidiana, dado que nuestra dependencia de la tecnología sigue creciendo. En 2017, debemos trabajar juntos para cambiar esta situación antes de que empeore. Lampadia

En reciente estudio “Generando Confianza en el mundo digital“, elaborado por EY, contiene los resultados de la Encuesta Global de Seguridad de la Información y un riguroso análisis de las principales amenazas y ataques cibernéticos, así como de las vulnerabilidades a las que se enfrentan las compañías y cómo deben protegerse de ellas.

La importancia de este informe es que actualmente nos encontramos en una época en que los ataques cibernéticos causan más daños que nunca. Una investigación realizada por IBM indica que los resultados promedio de pérdidas por un ‘hacking’ de datos son casi US$ 3.8 millones, un 23 por ciento mayor que hace dos años. El año pasado, el 80 por ciento de los ataques cibernéticos globales se llevaron a cabo por bandas de crimen bien organizados, quienes robaron más de US$ 445 mil millones, además de millones de registros y datos personales.

Los ciberdelincuentes no diferencian entre industrias, tamaño de empresas o tipo de organización. Hay urgencia de actuar ahora para tomar las decisiones correctas y hacer las inversiones necesarias para minimizar estos ataques. Un entorno digital seguro es una condición esencial para que todas las organizaciones se desarrollen plenamente e innoven con éxito; y para que los ciudadanos se sientan seguros en la adopción de estas innovaciones.

El cuadro inferior muestra los resultados sobre qué amenazas y vulnerabilidades han incrementado más la exposición al riesgo de las empresas en los últimos 12 meses. Todavía existe una negación a ver la gestión de los accesos como un creciente desafío de seguridad cibernética: el 91% de los encuestados en el Perú (y 68% a nivel global) no considera monitorear el ecosistema de su negocio como un esquema de seguridad de la información en Internet.

El gráfico muestra que las dos vulnerabilidades más altas para los encuestados, empleados imprudentes o poco concientizados y controles de seguridad obsoletos. Según EY, “en 2014, estas dos vulnerabilidades eran percibidas como prioridades alta y más alta, pero el grado de vulnerabilidad que sienten las organizaciones ha disminuido en estas áreas. Hoy, solo el 44% se siente vulnerable con respecto a empleados imprudentes, en comparación con el 57% en 2014; solo el 34% se sienten vulnerables debido a sistemas obsoletos, en comparación con el 52% en 2014.” Esto muestra que las organizaciones creen que están cubriendo sus vulnerabilidades de manera más eficaz.

Por otro lado, las dos amenazas más altas son: Phishing y Malware.  Según EY, “estas amenazas figuraron en el 5to y 7mo lugar en el año 2014, junto al robo de información financiera, propiedad intelectual, la amenaza de fraude, espionaje y ataques de día cero, todos considerados como más altos.” Esta percepción tan exacerbada del phishing y el malware como amenazas demuestra un cambio claro de perspectiva.

¿Cómo se pueden evitar estos ataques? Para EY, el punto de partida para generar confianza en la organización es analizar continuamente la forma en que las empresas son vistas ante un atacante cibernético. Éstas a menudo están familiarizadas con las mejores prácticas de gestión de riesgos y es un punto de partida útil para analizar y plantear un sistema de seguridad cibernética (ver cuadro inferior).

Según la encuesta Global de Seguridad del 2014 de EY, existen tres etapas de madurez de seguridad cibernética: Activar, Adaptar y Anticipar (las tres As) que necesitan ejecutarse en secuencia con el fin de lograr medidas de seguridad cibernética cada vez más avanzadas e integrales en cada etapa.

1. Activar
Las organizaciones necesitan tener una base sólida sobre seguridad cibernética. Este comprende un amplio conjunto de medidas de seguridad de la información que proporcionarán defensa básica (pero no suficiente) frente a los ataques cibernéticos. En esta etapa, las organizaciones establecen sus fundamentos, que “activan” su seguridad cibernética.

2. Adaptar
Así como las organizaciones cambian, las amenazas también cambian con el tiempo. Por lo tanto, el fundamento de las medidas de seguridad de la información debe adaptarse para seguir el ritmo y cumplir con los requisitos y las dinámicas cambiantes del negocio, por lo contrario serán cada vez menos eficaces en el tiempo. En esta etapa, las organizaciones trabajan para mantener su seguridad cibernética actualizada; es decir, que “adaptarse” a las necesidades cambiantes.
 

3. Anticipar
Las organizaciones necesitan desarrollar tácticas para detectar y detraer potenciales ataques cibernéticos. Tienen que saber exactamente lo que necesitan para protegerse y ensayar respuestas adecuadas: esto requiere una capacidad de inteligencia cibernética avanzada, una sólida metodología de evaluación de riesgos, un mecanismo de respuesta con experiencia y una organización informada. En esta etapa, las organizaciones tienen más confianza en su capacidad para manejar las amenazas más predecibles y ataques inesperados; es decir, ‘anticipar’ los ciberataques.

Si bien en el Perú no ha habido un ataque cibernético de gran magnitud, es preocupante que las empresas no cuenten con un rol o función en el área de seguridad de información dedicada al análisis o evaluación de tecnologías emergentes para poder prevenir este tipo de vulnerabilidades.

La única manera de crear un entorno de este tipo es impulsando una mayor conciencia en los peligros de los ciberataques y en cómo resolverlos. Si se hace, no sólo se estaría ayudando a crear el clima favorable necesario para la innovación en el Perú, sino que también le permitirá al país desarrollar los conocimientos y habilidades para protegerse vía la seguridad cibernética.  Solo así el Perú podrá innovar y aprovechar los beneficios de las tecnologías de punta con confianza y tranquilidad. La ciberseguridad es un componente esencial para el desarrollo de innovación y una garantía de la prosperidad económica del país. Lampadia