Diagnóstico ciber: ¿Cómo mejorar la gestión de los activos digitales?

Conversamos con Aníbal Gutiérrez, gerente senior de Ciberseguridad, Privacidad y Servicios Forenses de PwC Perú, quién nos comenta los cambios en el panorama actual de riesgo cibernético y las mejoras que deben hacer las organizaciones para enfrentar estas amenazas.

  • ¿Cómo ha cambiado el panorama de riesgo cibernético?

A partir del inicio de la pandemia y en lo que va del año, las organizaciones a nivel mundial han sido testigos de cambios sin precedentes en el contexto de negocios y en el comportamiento de los consumidores, acelerando los procesos de transformación digital y elevando abruptamente su perfil de riesgo de ciberseguridad.

Según la 25ª Encuesta Anual Global de Directores Ejecutivos de PwC 2022, donde se recoge las principales preocupaciones de los CEO ante los desafíos actuales, los líderes están preocupados por una serie de temas desde la recuperación económica global, la salud o la preparación para una sociedad Net Zero. Sin embargo, la mayor amenaza identificada corresponde a los riesgos cibernéticos.

Por otra parte, de acuerdo con la encuesta de PwC Digital Trust Insights 2022, dentro de los principales incidentes en los que se espera un aumento significativo para este año, encontramos los ataques a servicios en la nube (22%), ransomware (21%) y cryptomining (21%), según los encuestados. En un menor nivel, encontramos la afectación de correos corporativos, malware vía actualizaciones de software y ataques patrocinados por gobiernos a infraestructuras críticas.

La misma encuesta indica que las vías o vectores de ataques en los que se espera un incremento significativo corresponden a dispositivos móviles (27%), internet de las cosas – IoT (26%), servicios en nube (23%), ingeniería social (23%) y servicios provistos terceros (19%). Además, se espera un incremento significativo en la actividad maliciosa de diversos actores como ciberdelincuentes (25%), hacktivistas (22%), patrocinio de gobiernos (19%) y empleados actuales o contratistas (18%).

A nivel local, en lo que va del año, hemos podido apreciar un incremento de incidentes de ciberseguridad, resaltando los ataques de vía Ransomware CONTI, filtración de datos (Leaks) en entidades públicas y privadas, exposición de información sensible (Caso Zorrito Run Run) y espionaje informático para la adjudicación de obras públicas en el Organismo Supervisor de las Contrataciones del Estado (OSCE).

A medida que aumenta la dependencia de nuestra sociedad de la tecnología y evolucionan las amenazas cibernéticas, nuestro enfoque de la seguridad también debe cambiar. En esa constante evolución y a partir de la Guerra entre Rusia y Ucrania, la inminente crisis global financiera y alimentaria, en los próximos meses, seguiremos apreciando campañas de ingeniería social, manipulación de información, ataques a infraestructuras críticas y servicios en nube, entre otros tipos de amenaza.

  • ¿Cómo se pueden mejorar las operaciones de la organización para protegerse ante los riesgos y amenazas?

Según la encuesta Digital Trust Insights 2022 ya mencionada, más del 75% de los CEO y ejecutivos entrevistados, reportan demasiada complejidad en sus organizaciones, tecnologías, datos, entornos operativos y controles de seguridad.

Esto trae algunas consecuencias como: incapacidad para innovar, falta de resiliencia y pérdidas financieras debido a incumplimiento regulatorio o ataques cibernéticos. Simplificar la ciberseguridad puede ayudar a eliminar la complejidad de la organización y mejorar sus operaciones.

Según el estudio, las organizaciones que simplicaron sus operaciones, contemplaron entre otros aspectos: redefinir una modalidad de trabajo hibrida (remota / presencial), reorganizar funciones, consolidar proveedores de tecnología, implementar un marco integrado de gobierno de datos, racionalizar tecnologías y controles desmantelando tecnología heredada.

Por otra parte, incorporar la gestión del riesgo cibernético como parte de la gestión integral de riesgo, es clave para que la alta dirección esté al tanto del grado de exposición frente a las ciber-amenazas actuales y emergentes. Esto incluye añadir a la gestión del riesgo cibernético en el desarrollo de nuevos productos y servicios desde su concepción y no como una actividad posterior al lanzamiento de una nueva iniciativa de transformación organizacional.

Finalmente, el factor humano juega un papel transcendental. A medida que se incremente la madurez de la cultura de ciberseguridad y esta se integre a las operaciones diarias de la empresa, se logrará mayor protección ante los ciberatacantes que ven en el eslabón más débil de la cadena, una puerta de ingreso a sus activos críticos.

  • ¿Cómo gestionar de manera eficiente los activos digitales?

La gestión eficiente de los activos digitales, en el sentido de extraer el mayor valor posible de su representación a nivel de datos procesados o información, requiere de una estrategia y un nuevo enfoque, soportado por un equipo multifuncional con conocimiento en los procesos core del negocio, finanzas, seguridad, privacidad y uso ético de la información.

Según un estudio de confianza de datos de PwC, se requiere de ciertas capacidades para la gobernanza y creación de valor a partir de datos confiables, como motor de innovación y crecimiento empresarial:

  • Gobierno: establecer un programa para gestionar el cumplimiento normativo (como la ley de protección de datos personales), los riesgos comerciales y obtención de beneficios al monetizar datos confiables, a partir de una gestión centralizada.
  • Descubrimiento: identificar y mapear flujo de datos, inventariarlos, clasificarlos y etiquetarlos para un uso apropiado.
  • Protección: implementar y evaluar continuamente el programa de ciberseguridad de la organización a partir de gestionar el riesgo cibernético con base en datos (KPIs, KRIs).
  • Minimización:  los datos de escaso valor generan un riesgo innecesario de filtración o incumplimiento regulatorio y por lo tanto, son candidatos a ser depurados y/o eliminados.
  • ¿Cómo identificar una brecha de seguridad en la organización?

Para gestionar incidentes de seguridad, es muy importante el momento en que estos hechos se identifican, mientras sea con anticipación y lo más lejos posible de convertirse en un evento de crisis, menor impacto tendrá en las operaciones.

Para lograrlo es necesario contar con capacidades de detección y respuesta de incidentes de ciberseguridad, lo que involucra una serie de capacidades a nivel de procesos, personas y tecnología.

Las capacidades de detección requieren una serie de controles de seguridad, soportados por procesos y herramientas, para identificar y correlacionar situaciones anómalas, en las aplicaciones, infraestructura y la red de la organización. A partir de estas se podrá generar alertas para que los equipos de trabajo a nivel operativo y táctico, las analicen, evalúen y determinen si se trata de falsos positivos o de eventos que desencadenen un incidente de ciberseguridad.

La respuesta a los incidentes no puede ser solo reactiva o no alineada a una estrategia pre-definida, basada en las tipologías de incidentes o escenarios de amenaza aplicables a la organización. Se necesita un plan de respuesta a incidentes de ciberseguridad, que contemple roles y responsabilidades, herramientas y procesos para la administración del ciclo de vida de incidente, considerando actividades de contención, erradicación, recuperación y aprendizaje. Esto podría involucrar no solo actividades operativas y tácticas, sino también estratégicas, articuladas a partir de la activación del comité de gestión de crisis, dependiendo de la dimensión del incidente.

Los incidentes de ciberseguridad pueden haber derivado de nuestras dependencias de terceros o de servicios externalizados con proveedores. En ese sentido, debemos asegurar que nuestras capacidades de detección y respuesta se extiendan, a partir de una adecuada gestión de los riesgos de seguridad de terceros, a efectos de asegurar que estos implementen las medidas apropiadas para sostener dichas capacidades y, de ser el caso, participen activamente como parte del equipo de respuesta.

Finalmente, considerar que el firewall humano de nuestras organizaciones desempeña un rol clave en la detección de este tipo de amenazas cibernéticas, puesto que el nivel de concienciación en materia de ciberseguridad de los colaboradores será proporcional a su grado de respuesta frente a ataques de ingeniería social, como phishing, vishing u otros, en los que los ciberdelincuentes, pongan a prueba la ciber-cultura de la organización.

  • ¿Qué recomendación le darías a los líderes de negocios?

La ciberseguridad involucra construir y sostener capacidades en todos los niveles de las empresas. Por ello, es necesario que el directorio tenga visibilidad sobre la postura de ciberseguridad, el grado de exposición al riesgo cibernético y el impacto de los incidentes de seguridad que ha experimentado la organización.

Al respecto, a través de la implementación del marco NIST Cyber Security Framework (CSF), el directorio podrá entender las capacidades de la organización para “identificar” y “proteger” sus activos esenciales, así como para “detectar”, “responder” y “recuperarse” ante un ataque cibernético. Estas capacidades, corresponden a las 5 funciones del núcleo de marco NIST CSF:

Funciones del Núcleo de NIST Cyber Security Framework (CSF)

Las organizaciones pueden utilizar NIST CSF en conjunto con el marco de Integración de Modelos de Madurez de Capacidades (CMMI®), para evaluar la madurez del programa de ciberseguridad actual, establecer un nivel objetivo de madurez y medir progresivamente el efecto de las inversiones y planes de acción implementados para alcanzar dicho objetivo.

A partir del entendimiento del nivel de riesgo cibernético y de las capacidades implementadas para su gestión, los líderes a nivel estratégico, táctico y operativo podrán mantener conversaciones frecuentes sobre la materia con la gerencia, el responsable u Oficial de Seguridad de Información (CISO) y los demás líderes del negocio.

Con estos cimientos, los CEOs podrán reenfocar la ciberseguridad como algo importante para el crecimiento del negocio y la confianza de los clientes, y no solo como una serie de controles de seguridad y requisitos regulatorios; empoderando y colaborando con el CISO para obtener un presupuesto escalable y basado en riesgo, demostrando de esta manera, su compromiso con el programa de ciberseguridad y otros que se deriven del mismo, tal como el de fortalecimiento de la cultura en ciberseguridad en todos los niveles de la organización.

Finalmente, en el contexto actual, es importante valorar el rol estratégico del CISO, como actor clave en la transformación de las organizaciones. Es necesario que los líderes los involucren, desde la concepción de las iniciativas asociadas, hasta su implementación. En ese sentido, el CISO tendrá el desafío de conocer la estrategia del negocio y alinear el plan de seguridad en consecuencia, construir una relación más sólida con el CEO y demás líderes, colaborar proactivamente en reducir la complejidad del negocio, a través de la optimización de controles de seguridad y tecnologías vinculadas; y educar y sensibilizar permanentemente al directorio, gerencia y demás líderes del negocio, sobre el panorama de riesgo cibernético, incluyendo aquellos que se derivan de terceros involucrados en la cadena de suministro del negocio.

Deja un comentario

Volver arriba