Algunos expertos predicen que para 2020 habrá 200 mil millones de ‘cosas’ conectadas. Automóviles, aviones, casas, ciudades e incluso animales están siendo conectados. El software está integrado en todas partes. Esto está cambiando la forma en que vivimos y cómo nos comportamos e interactuamos con el mundo que nos rodea. A medida que la tecnología se integra más y más profundamente en nuestras vidas, nos volvemos más y más dependientes de ella. Pero esta dependencia nos hace vulnerables a cualquier ataque o falla tecnológica.
Es por esto que presentamos los resultados globales (aplicados a empresas peruanas) de la 19° Encuesta Global de Seguridad de la Información: El camino hacia la resiliencia cibernética, presentada por EY Perú (Ernst & Young). La publicación analiza las respuestas de 1,735 CIOs, CEOs y otros ejecutivos, mostrando las fortalezas de las organizaciones en sus capacidades de seguridad cibernética y en qué pueden mejorar.
Entre los principales hallazgos del estudio tenemos que, a diferencia de lo que podríamos suponer, las amenazas no siempre tienen que venir de fuera, ni ser malintencionadas. De acuerdo a los cuadros presentados, cuando se preguntó a los responsables de las empresas (a nivel global) sobre la fuente más probable de un ataque, la mayoría (55%) sostuvo que se trataría de un colaborador descuidado. Por supuesto, el malware no se queda atrás (51%) ni el phishing (51%), pero es destacable la importancia que ha cobrado el sector interno.
Los resultados de la encuesta indican la necesidad de mejorar la resiliencia en su capacidad de responder y recuperarse de incidentes cibernéticos para que las operaciones seguras y confiables puedan ser restauradas y mantenidas. Según EY Perú (Ernst & Young), “la resiliencia cibernética es un subconjunto de la resiliencia del negocio.” Se centra en la eficacia de las utilidades en la implementación de tres componentes críticos:
1.Sentir
Sentir es la capacidad de las organizaciones para predecir y detectar las amenazas cibernéticas.
2.Resistir
Los mecanismos de resistencia son básicamente los escudos corporativos. Esto inicia con cuánto riesgo una organización está preparada para tomar a través de su ecosistema, seguido por el establecimiento de líneas de defensa.
3.Reaccionar
Si “Sentir” falla (la organización no detectó la amenaza que venía) y hay un desajuste en “Resistir” (las medidas de control no fueron lo suficientemente fuertes), las organizaciones deben estar listas para lidiar con la intrusión, con capacidades de respuesta y listas para gestionar la crisis.
En los últimos años, las organizaciones han mejorado significativamente sus capacidades de ‘Sentir’, utilizando inteligencia cibernética para predecir lo que pueda ocurrir, instalando mecanismos de supervisión continua, identificando y gestionando vulnerabilidades e instalando Defensas Activas.
Según los últimos datos de la encuesta, este año el 50% de las organizaciones considera que es probable que sean capaces de predecir y detectar un ataque cibernético sofisticado, el mayor nivel de confianza que hemos observado desde 2013. Sin embargo, a pesar de estos puntos positivos, aún no son suficientes las organizaciones que están tomando las medidas necesarias para evitar ataques cibernéticos: En el Perú, 97% no tienen Centros Operativos de Seguridad, 90% no tienen un programa de inteligencia contra amenazas y el 97% no tienen una capacidad de identificación de vulnerabilidades formal.
Para EY Perú (Ernst & Young), es importante enfocarse en riesgos cibernéticos, no solamente en seguridad cibernética. Los ataques están tomando formas diferentes constantemente y son cada vez más complejos. Casi la mitad de los encuestados (48%) dicen que sus controles de seguridad desactualizados son un área de alta vulnerabilidad.
Según afirma el informe, “Si bien la naturaleza de los ataques ha cambiado, resistir, defender, mitigar y neutralizar ataques han sido durante mucho tiempo el núcleo necesario de la seguridad cibernética”. Y es que “La capacidad de resistencia requiere un enfoque multifacético. Las defensas se suelen considerar como barreras difíciles, como el cifrado o firewalls que detienen y/o neutralizan un ataque; pero hay otras formas en que las organizaciones pueden minimizar el impacto de un ataque y ayudar a la organización a resistir.”
Entre el 2013 y el 2016, ha habido un incremento en los presupuestos, con un 53% de los encuestados este año diciendo que sus presupuestos aumentaron en los últimos 12 meses. Sin embargo, las organizaciones dicen que se necesita más financiamiento, el 61% citando las limitaciones presupuestarias como un desafío y el 69% de los encuestados diciendo que necesitan hasta un 50% más de presupuesto.
Una vez que la empresa ya ha recibido un ataque, el siguiente paso es ‘Reaccionar’ adecuadamente. La gestión de la continuidad de negocio (Business Continuity Management – BCM por sus siglas en inglés) ha sido la principal habilidad de una organización para reaccionar ante una amenaza, ataque u otra interrupción en sus operaciones durante muchos años.
Aunque las capacidades de ‘Reacción’ se desempeñan bien en las clasificaciones de prioridad, el dinero invertido en esta área es aun relativamente bajo. Quedó claro que ‘Reacción’ es el área donde la mayor parte del trabajo todavía está por hacerse. Cuanto sea más claro que el escudo corporativo no puede resistir a todas las amenazas, más atención recibirá la capacidad de Reacción.
Los problemas de seguridad cibernética y los ataques causan miles de millones de dólares en pérdidas cada año. Está claro que hay problemas crecientes de seguridad cibernética. Y más allá de tener un impacto económico, también tienen un impacto en nuestra vida cotidiana, dado que nuestra dependencia de la tecnología sigue creciendo. En 2017, debemos trabajar juntos para cambiar esta situación antes de que empeore. Lampadia