El abc del ciberriesgo (y II)

El abc del ciberriesgo (y II)

Insurance Distribution16

ASPECTOS FUNDAMENTALES A CONSIDERAR

Nueve puntos principales que hemos de considerar cuando se mapea el ciberriesgo:

  1. Es un problema transversal y cros sectorial
  2. Se ha de mirar más allá de las fronteras tradicionales: el ciber riesgo se puede encontrar en cualquier punto de la cadena de valor
  3. Conocer y saber cómo son y cómo se desenvuelven los ciber criminales: cuáles son sus motivaciones y los activos en riesgos
  4. Se deben gestionar las expectativas en relación con el apetito de riesgo: la empresa ha de tener claro hasta donde quiere protegerse y que riesgo residual puede y quiere aceptar
  5. Monitorizar permanentemente, no bajar la guardia: conocer el riesgo que nos rodea y aprender de los incidentes de otros
  6. Testear permanentemente nuestro nivel de protección y nuestra capacidad de detección y respuesta, a través de ataques simulados
  7. Compartir y aprender de las mejores prácticas en la industria ( nuestro sector y otros)
  8. Se han de asignar papeles y responsabilidades dentro de cada organización: cada empleado ha de conocer e interiorizar su responsabilidad en relación a la gestión del ciber riesgo
  9. Mantener la seguridad higiénica como una prioridad (ej. contraseñas)

ALGUNOS DATOS PARA COMPRENDER EL CIBERIESGO

Mostramos alguna estadística para comprender el ciberiesgo:

a) Los ataques están en los sistemas del atacado de media 256 días hasta que son detectados ( 2015 Cost of Data Breach study, Instituto Ponemom)

b) El 90% de las campañas de “phishing” (suplantación de identidad) tienen existo con el envió de tan solo 10 e-mails a la organización atacada ( Verizon DBIR-2014)

c) En el 95% de todos los incidentes, se reconoce el factor humano como el factor o uno de los factores desencadenantes ( IBM Cibersecurity Intelligence)

d) Un 23% de los usuarios comparte sus claves de acceso con compañeros

e) Un 80% de los ataques podría evitarse simplemente con una “ higiene” de las redes, de los sistemas y los dispositivos, que incluyese claves de acceso y configuración seguras, así como recertificación de accesos. ( National Audit Office-IK Cyber Security Strategy landscape review)

f) Ejemplos de claves comunes: 12345678, password, etc

g) Un 85% de los incidentes de ciber espionaje son descubiertos por terceros ( Verizon DBIR-2014)

h) El 96% de la vulnerabilidades críticas que afectan al sistema operativo Windows se podrían mitigar quitando los derechos de administración de los usuarios ( Avecto 2013 Microsoft Vulnerabilities Study)

i) En el 100% de la brechas de datos se detecta un robo de credenciales ( Mandiant)

j) En 2020 habrá en el mundo 1 trillón de dispositivos conectados

k) Un 30% de la Información de Negocio de las empresas esta en nubes ( IBM)

¿QUIENES SON LOS POTENCIALES ATACANTES?

Estos serían los “actores del mal” involucrados:

A) Estados soberanos. Disponen de alta capacidad, presupuesto para actuar y capacidad de internalizar lo hackeado. Su objetivo es sacar ventaja política y militar, y en muchas ocasiones ganancia económica. Ponen sus ojos en las infraestructuras críticas, la propiedad intelectual e información crítica de otros estados, empresas privadas, centros de investigación, etc.

B) Ciber Terrorismo o Ciberyihadismo (Nuevo)

C) Crimen organizado (ver artículo Afronta con garantías la era digital: Tecnología y amenaza global) Dispone de capacidad entre moderada y alta, y un fácil acceso al mercado negro. Busca ganancia financiera y conocimiento para preparar ataques futuros. Sus ojos están puestos en información personal, propiedad intelectual y en los sistemas de pago.

D) Hacktivistas: con capacidad moderada y  bajo presupuesto disponible. Sus objetivos son cambiar los comportamientos de negocio, proporcionar transparencia, mejorar la seguridad poniendo de relieve deficiencias en la misma, cambiar la sociedad. Se dirigen a las comunicaciones sensibles, a los procesos de negocio y a la información personal. A diferencia de los malignos ( cibercriminales), en general son idealistas y en bastantes ocasiones altruistas. No suelen buscar ventajas económica directa ( si en muchas ocasiones indirecta, como ser fichados por grandes corporaciones, fama o reconocimiento público, etc)

E) Script Kiddies: Disponen de poca experiencia, atacan vulnerabilidades conocidas. Buscan reconocimiento, o bien les guía la curiosidad, o bien, en algunos casos, venganza personal. Sus objetivos son aquellos que sean sencillos. Quieren impresionar a sus amigos o ganar reputación en comunidades de entusiastas de la informática, pese a no tener base firme de conocimientos informáticos. Utilizan programas y scripts desarrollados por otros para atacar sistemas de computadoras y redes.

CIERRE

Se habla mucho de ciber riesgo, pero se ha seguir actuando en todos los niveles.   En España, si bien la concienciación y actuación es alta a nivel de gobiernos (con plan estratégico en marcha) y entidades públicas, fuerzas de seguridad y grandes empresas, los hechos indican que no existe esa concienciación a nivel de muchas pequeñas empresas y para muchos ciudadanos.

Si tiene una empresa y no está protegido, asesórese con expertos, implemente un sistema de detección de ataques, testee y analice permanentemente las vulnerabilidades de su negocio, de su cadena de suministro y sus proveedores, diseñe y ponga en marcha un plan de contingencias y de respuesta. Una vez evaluado mapeado y evaluado el ciberriesgo, si el nivel de riesgo al que esta expuesto no es asumible para su empresa o excede el apetito de riesgo que quiere retener, hable con su corredor y contrate un seguro de Ciberriesgo.

fernandoAutor: Fernando Martínez -Cué, miembro de Community of Insurance

Acerca del autor

Somos una Empresa de comunicación y gestión del conocimiento asegurador en RED dirigida a las empresas y profesionales iberoamericanos, especializada en Comunicación Corporativa, Gestión del Conocimiento, Consultoría Estratégica y Eventos para la Industria Aseguradora.

Artículos relacionados

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

3 + Doce =