Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Cinthya Castillo Montes

VIU - Ebook Ciberseguridad

Anuncio 
LOS GRANDES
DESAFÍOS DE LA
CIBERSEGURIDAD
Cuando protección y talento
blindan el negocio
1
ÍNDICE
1. La importancia de la ciberseguridad para el negocio ............................................................................................ 3
2. El estado de la ciberseguridad...................................................................................................................................... 6
3. Ciberseguridad y cumplimiento .................................................................................................................................. 8
4. Proactividad y mejores prácticas, cuando tecnología y
talento se unen en la lucha contra la amenaza ........................................................................................................ 9
5. Tendencias en ciberseguridad ................................................................................................................................... 10
6. IoT, endpoints, y escasez de talento: 3 grandes desafíos para la seguridad en las organizaciones........ 12
2
Los grandes desafíos de la Ciberseguridad
“Los ataques cibernéticos están aumentando. El 88% de las organizaciones encuestadas sufrió un ataque cibernético en los últimos 12 meses; de ellas, el 56% tuvo que lidiar con una interrupción de sus procesos de negocio”. KPGM 2017
1. La importancia de la ciberseguridad para el negocio
La dependencia tecnológica de las organizaciones actuales hace que, en plena era de la transformación digital,
cada vez se conozcan más casos de amenazas a negocios y a sus clientes.
No es sólo una cuestión de conectividad (cada vez hay más dispositivos conectados, de más tipos diferentes,
en todo momento y desde cualquier parte), sino que podría decirse que, en realidad, el mayor obstáculo para la
seguridad cibernética es la velocidad a la que evoluciona la amenaza.
La sofisticación de sus métodos y el descubrimiento de nuevas tácticas de ataque sucede de forma tan dinámica
que causa el aumento en la brecha de talento y recursos de las empresas que tratan de hacerles frente.
3
Los grandes desafíos de la Ciberseguridad
WannaCry, Sambacry o Petya son sólo algunos ejemplos de gran repercusión, pero la realidad de las empresas
es que, a diario, son objetivo de muchos tipos de ataque diferentes.
Hay que tener en cuenta que, si bien las noticias sólo se hacen eco de los ataques a empresas más grandes o
con mayor repercusión mediática, como Disney o Telefónica; las corporaciones multinacionales no son el único
objetivo de los cibercriminales.
“En 2013, los hackers robaron datos de hasta 40 millones de tarjetas de
crédito y débito propiedad de los compradores de las tiendas Target. En
septiembre de 2014, Home Depot admitió que 56 millones de tarjetas de
sus clientes podrían estar en riesgo debido a un ciberataque”
Northcentral University
El objetivo se amplía y, hoy día, los datos personales y bancarios de los consumidores son una parte sustancial
de un buen ciber-botín. Parece una evolución lógica, sobre todo, si se tiene en cuenta la cantidad de información
de todo tipo que se comparte con las empresas.
Incluso las PYMES conocen, además de nombre completo, dirección, teléfono y datos de la tarjeta de crédito
o débito; mucha otra información sobre sus hábitos y datos sociodemográficos que recopilan a lo largo de los
años y emplean para el análisis. Si no se protege adecuadamente, este conocimiento puede llegar a manos de
organizaciones criminales.
4
Los grandes desafíos de la Ciberseguridad
“De mayo de 2015 a mayo de 2016, el 50% de los encuestados de pequeñas empresas dijeron que tenían brechas
de datos que apuntaban a información de clientes y empleados” (NCU). Noticias como ésta hacen que una
compañía pierda credibilidad y prestigio, que sus clientes abandonen y sus socios se planteen la conveniencia
de una alianza de ese tipo. Y es que, si los hackers son capaces de acceder a una base de datos de marketing, les
basta con lograr conocer el email de los clientes y empleados para utilizar técnicas de phishing que les ayuden a
lograr su objetivo.
Este objetivo variará, en función del tipo de atacante. Existen varios perfiles distintos. Según César Cerrudo
(hacker profesional) y tal como declara en su contribución para la revista Forbes, los perpetradores de ataques
pueden ser:
Delincuentes cibernéticos: atacan los sistemas y roban información con fines de lucro.
Hackers: pese a que el número de hackers éticos (profesionales que trabajan para beneficiar a las empresas y
mejorar su seguridad) va en aumento, también hay hackers maliciosos.
Hacktivistas: son personas motivadas políticamente o socialmente. Anonymous sería un ejemplo.
Terroristas cibernéticos: aunque no son comunes, podrían llegar a serlo pronto, sirviéndose de la red para
preparar o llevar a cabo atentados.
Estados nación: son un tipo de organizaciones unidas por un ideal común (nacionalista, religioso, etc.) que
cuenta con los medios para lanzar ciberataques contra otros países.
Todos estos atacantes pueden dirigirse a individuos, empresas o gobiernos y, de hecho, se espera que “los daños
causados por el delito cibernético cuesten al mundo 6 billones de dólares en 2021” (NCU).
Con esta perspectiva, a las organizaciones no les queda otra salida que buscar la forma de blindarse. La
protección de datos por medio de un firewall ya no es suficiente. Ransomwares, phising y whaling o ataques
apoyados por el aprendizaje automático son sólo el principio.
Es necesario apostar por la protección proactiva, como la que ofrecen las soluciones de computación cognitiva
aplicadas a la seguridad y plantearse nuevas contrataciones.
Sin embargo, la búsqueda del talento y el desarrollo de capacidades internas deben considerarse como algo
prioritario puesto que “para 2019, la demanda mundial de expertos en seguridad de TI aumentará a 2,5 millones,
con una escasez de candidatos de alrededor de 1,5 millones” (ManpowerGroup).
“El 43% de los ataques cibernéticos apuntan a las pequeñas empresas y el 60%
de ellas terminan teniendo que cerrar sus puertas en los seis meses siguientes
a sufrir un ciberataque”
Northcentral University
5
Los grandes desafíos de la Ciberseguridad
2. El estado de la ciberseguridad
Además del impacto económico de las amenazas de seguridad, esta ola de ataques que va en aumento también
tiene un impacto en muchas otras facetas de nuestra vida cotidiana, fruto de nuestra dependencia de la tecnología.
Del informe “The Global State of Information Security Survey” de PwC 2017 se pueden extraer 10 hallazgos clave
que ayudan a comprender mejor cuál es el estado actual de la ciberseguridad:
1. El gasto anual en ciberseguridad ha permanecido constante, aunque existen variaciones en función del tipo
de industria, existiendo sectores que han aumentado el gasto y otros que lo han reducido.
2. Los servicios de salud y financieros han incrementado significativamente su inversión en seguridad,
probablemente, como consecuencia de la presión reguladora.
3. Sectores como el retail o las telecomunicaciones han nadado a contracorriente, registrando fuertes
reducciones en los presupuestos de seguridad, especialmente en el caso de estas últimas y a pesar de haber
sufrido un aumento espectacular (del 70%) en el número de incidentes.
4. La conversión realizada por las organizaciones se dirige a adaptarse a los nuevos requisitos de seguridad
necesarios para estar alineadas con las condiciones de los nuevos modelos de negocio; al aseguramiento de
los dispositivos del IoT y a impulsar la colaboración entre empresas con fines de seguridad, sobre todo en
entornos digitales.
5. El mayor porcentaje de ataques perpetrados están relacionados con la suplantación de identidades, los
dispositivos móviles y la tecnología operativa y de consumo.
6. Pese a que, por el momento, la gran mayoría de los ataques proceden del interior de las empresas, se espera
que, en un par de años, las amenazas externas los superen.
7. El gobierno de la seguridad avanza por el buen camino y, prueba de ello es que, ante un incidente, los CISO
reportan directamente al CEO en lugar del CIO.
8. El desafío más grande relacionado con las migraciones a la nube es gobernar y controlar aplicaciones, datos,
y seguridad.
9. El nuevo Reglamento General de Protección de Datos de la UE (RGPD) impone cambios en las organizaciones,
que deberán asumir para evitar las sanciones asociadas al incumplimiento, que pueden suponer hasta el 4%
de los ingresos anuales.
10. El riesgo más importante lo sufren las grandes compañías basadas en datos, del entorno de internet y las
redes sociales, como Google, LinkedIn o Facebook.
6
Los grandes desafíos de la Ciberseguridad
3. Ciberseguridad y cumplimiento
El RGPD, que entrará en vigor a finales de mayo de 2018, insta a las organizaciones a adaptarse al nuevo entorno.
Con la definición de requisitos se marca la directriz a seguir para obrar la transformación. El objetivo es minimizar
la vulnerabilidad de las organizaciones para protegerlas a ellas, pero también a sus empleados, clientes y socios.
Las empresas que ya hayan entrado en contacto con el Reglamento habrán descubierto la necesidad de conocer
en qué estado se encuentra su seguridad. Saber si sus activos informacionales están protegidos, si se conoce
cuáles son los datos sensibles y desde qué dispositivos y aplicaciones los usuarios acceden a la información
corporativa es sólo el principio.
La autoevaluación previa al plan de seguridad ha de permitir conocer cuál es el riesgo real al que cada organización
se enfrenta. Para poder cuantificarlo, resulta necesario tener claros dos puntos:
a)
Cuáles son los puntos débiles en materia de seguridad.
b)
Cuál sería el impacto de un ataque para la empresa y sus operaciones.
Es aconsejable realizar un mapeo que facilite conocer cuáles son los usuarios, dispositivos y aplicaciones
asociados a un mayor nivel de riesgo. No hay que olvidarse que los denominados endpoints son la principal
preocupación de seguridad de muchas compañías y las razones quedan patentes en el estudio de Ponemon,
“State of Endpoint Report”:
7
Los grandes desafíos de la Ciberseguridad
Una vez se ha descubierto la vulnerabilidad asociada al uso del dato y cuando se conozca también la efectividad
de las medidas de protección en funcionamiento, es momento de empezar a introducir medidas tecnológicas.
De acuerdo a la propuesta del RGPD, entre las acciones a emprender deberían, al menos, encontrarse las
siguientes:
a) Enmascaramiento y encriptación de datos.
b) Monitorización de usuarios privilegiados.
c) Gestión de identidades y accesos.
d) Sistemas de protección de datos en la nube.
e) Controles de transferencia de datos en entornos cloud.
f) Soluciones de prevención asociadas a sistemas de alerta.
g) Programas de formación e información a los usuarios empresariales.
Además de garantizar el cumplimiento del reglamento de protección de la información, al tomar este tipo de
medidas, las organizaciones no sólo disfrutan de una mayor tranquilidad en relación a la seguridad de sus activos
de datos, sino que comienzan a experimentar otros beneficios derivados, como:
Impulso al rendimiento.
Mejora de la imagen pública.
Fortalecimiento de vínculos con la red.
8
Los grandes desafíos de la Ciberseguridad
4. Proactividad y mejores prácticas, cuando tecnología y talento
se unen en la lucha contra la amenaza
Un reciente informe de Accenture, defiende que el verdadero desafío que viven las organizaciones es lograr
que los niveles directivos, no sólo participen de las políticas de seguridad, sino que se comprometan con ellas
y con sus objetivos. De esta forma consiguen que la seguridad se entienda como algo relevante para el negocio.
Si bien, aunque CEO y el Consejo de Administración tienen que alcanzar el nivel de compromiso necesario, será
el CISO quien juegue un papel clave en el proceso. En él recae la responsabilidad de proponer las iniciativas de
ciberseguridad y llevarlas a la práctica con éxito. Para que el proyecto culmine con los resultados esperados,
desde Accenture se recomienda observar tres mejores prácticas, que pueden aplicarse como principios rectores:
Capturar la imagen estratégica de la ciberseguridad en el negocio: para ello es preciso conocer cuáles
son las amenazas más importantes, cuál es su objetivo dentro el negocio, qué medidas de seguridad se han
implantado y cuál es su nivel de eficacia, qué alternativas estratégicas existen y qué es preciso conocer de las
amenazas que depara el futuro.
Evitar perderse en tecnicismos de seguridad en las comunicaciones: es preferible hablar en términos de
impacto comercial. Para ello se pueden exponer las potenciales consecuencias derivadas del incumplimiento
regulatorio propio, del incumplimiento por parte de socios o proveedores; mencionando también los
problemas que podrían surgir en relación con los clientes o la marca.
Concienciar a los altos directivos: recurriendo a reuniones, presentaciones y colaboraciones; participando en
webinars, mesas redondas y jornadas; priorizando la formación e información del CEO y dándole la posibilidad
de conocer nuevas perspectivas, a través de expertos y especialistas en ciberseguridad.
Poco se puede hacer en una organización si los líderes no están bien informados y comprometidos. Porque la
Alta Dirección debe estar preparada para tomar las decisiones correctas en materia de gestión de riesgos, para
impulsar el cambio del negocio hacia los nuevos estándares que le son y serán exigidos y, también, para hacer la
mejor inversión en lo que a tecnología de seguridad respecta.
El experto investigador en ciberseguridad Dan Geer afirma que “la privacidad tal y como la conocemos, ha muerto”.
Por eso, en su discurso de apertura el año pasado en la conferencia Black Hat USA, propuso algunas recomendaciones
que conseguirán garantizar un mayor nivel de protección a los datos de las empresas, entre ellas:
Reportar de forma obligatoria los fallos e incidencias de seguridad.
Lanzar contraataques contra los cibercriminales.
Construir resiliencia en sistemas integrados, permitiendo que cada parte pueda blindarse de forma remota.
9
Los grandes desafíos de la Ciberseguridad
Crear copias de seguridad fuera de la red.
Evitar llevar a cabo online procesos altamente confidenciales y de importancia crítica, como la votación de
unas elecciones, puesto que podrían ser manipulados.
“Más de 4.000 ataques de ransomware han ocurrido todos los días desde el
comienzo de 2016. Eso es un aumento del 300% sobre 2015, donde se vieron
1.000 ataques de ransomware por día.”
Sección de delitos informáticos y propiedad intelectual USA (CCIPS)
5. Tendencias en ciberseguridad
Según CSO, las tendencias en ciberseguridad para los próximos meses serán las orientadas a cubrir los siguientes
4 riesgos:
a) Ransomware: WannaCry, Sambacry o Petya, son ejemplos del nuevo tipo de ataques empleados por los
ciberdelincuentes actuales. La amenaza se presenta aprovechando las vulnerabilidades del sistema y los
hackers piden el pago de un rescate en bitcoins a cambio de devolver los archivos secuestrados. Las peores
consecuencias de estas acciones son las relacionadas con la pérdida de imagen de marca y la disrupción, que
afecta a las operaciones y provoca importantes pérdidas.
b) Malware móvil: se calcula que cerca del 4% de todos los dispositivos móviles están infectados. Aún más
preocupante es el hecho de que aproximadamente un 50% se encuentran ahora mismo en alto riesgo de
exponer información confidencial. Los endpoints son uno de los puntos débiles de las organizaciones, puesto
que su protección depende del compromiso usuario que, cada vez tiene mayor dependencia tecnológica y
emplea más los dispositivos móviles para acceder a los datos sensibles. Cuando no se siguen los protocolos
de seguridad, no se actualiza el software, se crean contraseñas débiles, se descargan aplicaciones de origen
desconocido o se hace clic en enlaces sospechosos, se está poniendo en jaque a toda la compañía.
c) Ataques IoT: la creciente adopción de esta tecnología hace que aumente también el número de cibercriminales
interesados en aprovechar su potencial para alcanzar objetivos maliciosos. Miles de millones de nuevos
dispositivos de Internet de Cosas están conectados a redes corporativas, proporcionando importantes
ventajas al negocio. Sin embargo, si no se saben proteger o no se incluye el IoT en la estrategia de seguridad,
se pueden repetir ataques como el de Dyn, que demuestran qué sencillo puede ser hackear una compañía,
mucho más si la amenaza se combina con un ransomware destinado a esta clase de dispositivos.
d) Piratería política: la tecnología se emplea también con fines poco éticos para propagar desinformación,
sembrar discordia o difundir propaganda que ayude a promover determinados objetivos políticos. Es a lo que
se dedican los conocidos como Estados nación, que han dejado de centrar sus acciones en el ciberespionaje,
para dar un paso más allá. Esto obliga actualizar las evaluaciones de amenazas incluso a las organizaciones
que no tienen una implicación política directa.
10 Los grandes desafíos de la Ciberseguridad
Además de los firewalls de nueva generación, los antivirus o los software de detección de malware desde Wired
recomiendan mejorar la protección de la información corporativa mediante el desarrollo de nuevas capacidades,
como:
Hackeo ético: teniendo en cuenta que “el coste global de la ciberdelincuencia llegará a 4,9 billones de libras
anuales para 2021” es necesario estar bien preparado. Para ello, lo primero es identificar debilidades en la
ciberseguridad de la organización. La forma de lograrlo es incorporando en plantilla un nuevo perfil conocido
como “hackers éticos”. Porque el modo más efectivo de vencer a un cibercriminal es pensar como uno y, al
incorporar a un hacker a la empresa se consigue proteger los principales puntos débiles y, al mismo tiempo,
mejorar la preparación de los usuarios de negocio, que son instruidos por alguien con tanta experiencia en
este tema.
Inteligencia artificial: las nuevas soluciones de computación cognitiva aplicada a la seguridad trabajan en un
ciclo de mejora continua que consigue que, gracias a la retroalimentación procedente de toda la organización,
los sistemas cada vez estén mejor protegidos, más preparados y puedan responder a mayor velocidad
antes cualquier incidente de seguridad. La inteligencia artificial se ocupa de las tareas de ciberseguridad,
minimizando el riesgo inevitable cuando de estas tareas se encargaban los humanos y logrando una respuesta
mucho más efectiva ante cualquier problema de seguridad que pueda plantearse.
11
Los grandes desafíos de la Ciberseguridad
“El 48% de las organizaciones incluye a sus activos de IoT en su estrategia
y política de seguridad cibernética y el 33% informan que han obtenido una
mejor comprensión del panorama del IoT en los últimos 12 meses.
El 31% de los encuestados aseguran haber adquirido una visión general de los
dispositivos IoT desplegados, sin embargo, un 17% intentaron alcanzar ese
nivel de visibilidad sin éxito y un 35% no trató siquiera de obtener una visión
general en los últimos 12 meses”
KPGM 2017
6. IoT, endpoints, y escasez de talento: 3 grandes desafíos para la
seguridad en las organizaciones
En el peor momento, el mundo se enfrenta a una escasez de talento en materia de ciberseguridad. Un reciente
estudio del Centro de Seguridad Cibernética y Educación del grupo de Seguridad de la Información Global
(ISC) ² proyecta que habrá “un déficit de más de 1,8 millones de profesionales cualificados en cuestiones de
ciberseguridad entre 2017 y 2022” (CSO).
No es sólo un problema de escasez de oferta formativa, algo en lo que los gobiernos deberían trabajar, sino que,
12
Los grandes desafíos de la Ciberseguridad
tal y como afirman algunos expertos en ciberseguridad (Indeed- Security Skills Gap Report), se trata de una
cuestión de perspectiva. Por eso, defienden que:
Tratar la ciberseguridad como una especialización dentro del campo de la computación en lugar de como una
disciplina independiente es un error.
La iniciativa debe ser tomada por las empresas y los profesionales, puesto que se trata de una cuestión
prioritaria.
La mejor alternativa, ahora mismo, consiste en desarrollar programas dentro de las organizaciones que
identifiquen a los profesionales mejor cualificados y les ofrezcan capacitación.
Porque, lo cierto es que, a pesar de que las empresas ya están avanzadas en sus procesos de reclutamiento,
incluso llevando a cabo la búsqueda proactiva de candidatos; durante el proceso de selección, se encuentran
con que “sólo en el 12 % de los casos los candidatos están debidamente preparados en el momento de llevar a
cabo la contratación”, como demuestra el siguiente gráfico:
La amenaza de la ciberdelincuencia se sofistica a gran velocidad y eso supone que cualquier esfuerzo es poco
para reducir esta brecha de talento.
Las organizaciones deberán prestar atención a 3 aspectos clave en su estrategia de seguridad:
1. Endpoints: los endpoints son el eslabón más débil de la cadena de seguridad de cualquier
compañía. Y es que, cuando los límites del puesto de trabajo se difuminan, también lo hacen
las responsabilidades, el compromiso y la seguridad. Formación, información y control de accesos, identidades y aplicaciones son la única forma de prevenir que un dispositivo infectado
termine afectando a toda la empresa.
2. IoT: privacidad y seguridad son las principales preocupaciones de las empresas que emplean dispositivos de IoT (Ericsson IoT Security). Como muchos dispositivos IoT se colocan en
entornos expuestos, deberían entonces contar con los medios para proteger automáticamente su funcionamiento y los datos que contienen. Garantizar su integridad y aplicar técnicas de
cifrado son dos acciones a aplicar a los datos sensibles en el almacenamiento no seguro. Los
dispositivos conectados también deben presentar la capacidad de recibir actualizaciones de
firmware remoto, incluso en caso de infección de malware.
13
Los grandes desafíos de la Ciberseguridad
Un Máster en Seguridad Informática permite a los profesionales proteger los activos de datos de la organización
para la que trabajan, ya que les ayuda a desarrollar las competencias necesarias para:
Comprobar el estado de la seguridad de la compañía, auditando los diferentes activos que la componen.
Identificar los activos críticos de la organización y determinar las medidas necesarias para protegerlos y
garantizar el correcto funcionamiento de los sistemas.
Establecer prioridades de cara a minimizar los riesgos identificados.
Detectar de forma proactiva un ataque a los sistemas, apoyándose en herramientas de monitorización,
aplicando técnicas de minería sobre el Big Data y ayudando a la compañía a hacer la mejor inversión en
software de seguridad de nueva generación.
Utilizar las herramientas y protocolos necesarios para mantener la confidencialidad, integridad y
disponibilidad de los datos en todo momento.
Planificar medidas de contingencia y responder ante incidentes de seguridad, manteniendo la cadena de
custodia, analizando el malware y recuperando información.
Determinar las metodologías adecuadas para optimizar la gestión de la seguridad digital de la organización.
Diseñar una arquitectura acorde con las necesidades de negocio que permita reducir al máximo los riesgos a
los que se puedan exponer los diferentes activos.
Es difícil conocer con precisión cuándo va a tener lugar el próximo ataque, en qué consistirá la amenaza o cuál
será su impacto potencial. Sin embargo, cuando la organización cuenta con profesionales preparados existen
posibilidades reales de evitar el riesgo de verse afectado y se puede tener la certeza de que, ante un incidente
de seguridad no se perderá información, no se sufrirán disrupciones y los activos de datos del negocio, sus
socios y sus clientes estarán a salvo.
“El 52% de las organizaciones que sufrieron ataques cibernéticos exitosos en
2016 no están haciendo ningún cambio en su seguridad en 2017” (Barkly).
Es hora de cambiar el futuro.
¿Cuentas con los perfiles adecuados en tu equipo de TI? ¿Conoces el Máster en Seguridad Informática de
la Universidad Internacional de Valencia? ¿Quieres convertirte en hacker ético o en jefe de investigación de
seguridad TIC?
14 Los grandes desafíos de la Ciberseguridad
Documentos relacionados
DOBLE FONDO - Revista SIC
DOBLE FONDO - Revista SIC
Nuestra Solución
Nuestra Solución
Informamos sobre  la próxima celebración de  CyberCamp 2014
Informamos sobre  la próxima celebración de  CyberCamp 2014
Informe 2
Informe 2
La nueva revolución digital - Comisión Económica para América
La nueva revolución digital - Comisión Económica para América
The Internet, IP, Everything and Everything Else
The Internet, IP, Everything and Everything Else
ciberseguridad
ciberseguridad
HERRAMIENTAS DE ANÁLISIS FORENSE Y CERTIFICACIONES EN MATERIA DE CIBERSEGURIDAD PARA COLEGIADOS
HERRAMIENTAS DE ANÁLISIS FORENSE Y CERTIFICACIONES EN MATERIA DE CIBERSEGURIDAD PARA COLEGIADOS
En primer lugar, quiero dar una calurosa bienvenida a todos los
En primer lugar, quiero dar una calurosa bienvenida a todos los
Ciberseguridad. Retos y Amenazas a la Seguridad Nacional
Ciberseguridad. Retos y Amenazas a la Seguridad Nacional
Descargar
Anuncio
Anuncio