[vc_row][vc_column][ad id=»26553″][vc_column_text]ASPECTOS FUNDAMENTALES A CONSIDERAR
Nueve puntos principales que hemos de considerar cuando se mapea el ciberriesgo:
- Es un problema transversal y cros sectorial
- Se ha de mirar más allá de las fronteras tradicionales: el ciber riesgo se puede encontrar en cualquier punto de la cadena de valor
- Conocer y saber cómo son y cómo se desenvuelven los ciber criminales: cuáles son sus motivaciones y los activos en riesgos
- Se deben gestionar las expectativas en relación con el apetito de riesgo: la empresa ha de tener claro hasta donde quiere protegerse y que riesgo residual puede y quiere aceptar
- Monitorizar permanentemente, no bajar la guardia: conocer el riesgo que nos rodea y aprender de los incidentes de otros
- Testear permanentemente nuestro nivel de protección y nuestra capacidad de detección y respuesta, a través de ataques simulados
- Compartir y aprender de las mejores prácticas en la industria ( nuestro sector y otros)
- Se han de asignar papeles y responsabilidades dentro de cada organización: cada empleado ha de conocer e interiorizar su responsabilidad en relación a la gestión del ciber riesgo
- Mantener la seguridad higiénica como una prioridad (ej. contraseñas)
ALGUNOS DATOS PARA COMPRENDER EL CIBERIESGO
Mostramos alguna estadística para comprender el ciberiesgo:
a) Los ataques están en los sistemas del atacado de media 256 días hasta que son detectados ( 2015 Cost of Data Breach study, Instituto Ponemom)
b) El 90% de las campañas de “phishing” (suplantación de identidad) tienen existo con el envió de tan solo 10 e-mails a la organización atacada ( Verizon DBIR-2014)
c) En el 95% de todos los incidentes, se reconoce el factor humano como el factor o uno de los factores desencadenantes ( IBM Cibersecurity Intelligence)
d) Un 23% de los usuarios comparte sus claves de acceso con compañeros
e) Un 80% de los ataques podría evitarse simplemente con una “ higiene” de las redes, de los sistemas y los dispositivos, que incluyese claves de acceso y configuración seguras, así como recertificación de accesos. ( National Audit Office-IK Cyber Security Strategy landscape review)
f) Ejemplos de claves comunes: 12345678, password, etc
g) Un 85% de los incidentes de ciber espionaje son descubiertos por terceros ( Verizon DBIR-2014)
h) El 96% de la vulnerabilidades críticas que afectan al sistema operativo Windows se podrían mitigar quitando los derechos de administración de los usuarios ( Avecto 2013 Microsoft Vulnerabilities Study)
i) En el 100% de la brechas de datos se detecta un robo de credenciales ( Mandiant)
j) En 2020 habrá en el mundo 1 trillón de dispositivos conectados
k) Un 30% de la Información de Negocio de las empresas esta en nubes ( IBM)
¿QUIENES SON LOS POTENCIALES ATACANTES?
Estos serían los “actores del mal” involucrados:
A) Estados soberanos. Disponen de alta capacidad, presupuesto para actuar y capacidad de internalizar lo hackeado. Su objetivo es sacar ventaja política y militar, y en muchas ocasiones ganancia económica. Ponen sus ojos en las infraestructuras críticas, la propiedad intelectual e información crítica de otros estados, empresas privadas, centros de investigación, etc.
B) Ciber Terrorismo o Ciberyihadismo (Nuevo)
C) Crimen organizado (ver artículo Afronta con garantías la era digital: Tecnología y amenaza global) Dispone de capacidad entre moderada y alta, y un fácil acceso al mercado negro. Busca ganancia financiera y conocimiento para preparar ataques futuros. Sus ojos están puestos en información personal, propiedad intelectual y en los sistemas de pago.
D) Hacktivistas: con capacidad moderada y bajo presupuesto disponible. Sus objetivos son cambiar los comportamientos de negocio, proporcionar transparencia, mejorar la seguridad poniendo de relieve deficiencias en la misma, cambiar la sociedad. Se dirigen a las comunicaciones sensibles, a los procesos de negocio y a la información personal. A diferencia de los malignos ( cibercriminales), en general son idealistas y en bastantes ocasiones altruistas. No suelen buscar ventajas económica directa ( si en muchas ocasiones indirecta, como ser fichados por grandes corporaciones, fama o reconocimiento público, etc)
E) Script Kiddies: Disponen de poca experiencia, atacan vulnerabilidades conocidas. Buscan reconocimiento, o bien les guía la curiosidad, o bien, en algunos casos, venganza personal. Sus objetivos son aquellos que sean sencillos. Quieren impresionar a sus amigos o ganar reputación en comunidades de entusiastas de la informática, pese a no tener base firme de conocimientos informáticos. Utilizan programas y scripts desarrollados por otros para atacar sistemas de computadoras y redes.
CIERRE
Se habla mucho de ciber riesgo, pero se ha seguir actuando en todos los niveles. En España, si bien la concienciación y actuación es alta a nivel de gobiernos (con plan estratégico en marcha) y entidades públicas, fuerzas de seguridad y grandes empresas, los hechos indican que no existe esa concienciación a nivel de muchas pequeñas empresas y para muchos ciudadanos.
Si tiene una empresa y no está protegido, asesórese con expertos, implemente un sistema de detección de ataques, testee y analice permanentemente las vulnerabilidades de su negocio, de su cadena de suministro y sus proveedores, diseñe y ponga en marcha un plan de contingencias y de respuesta. Una vez evaluado mapeado y evaluado el ciberriesgo, si el nivel de riesgo al que esta expuesto no es asumible para su empresa o excede el apetito de riesgo que quiere retener, hable con su corredor y contrate un seguro de Ciberriesgo.
Autor: Fernando Martínez -Cué, miembro de Community of Insurance[/vc_column_text][/vc_column][/vc_row]
