En reciente estudio «Generando Confianza en el mundo digital«, elaborado por EY, contiene los resultados de la Encuesta Global de Seguridad de la Información y un riguroso análisis de las principales amenazas y ataques cibernéticos, así como de las vulnerabilidades a las que se enfrentan las compañías y cómo deben protegerse de ellas.
La importancia de este informe es que actualmente nos encontramos en una época en que los ataques cibernéticos causan más daños que nunca. Una investigación realizada por IBM indica que los resultados promedio de pérdidas por un ‘hacking’ de datos son casi US$ 3.8 millones, un 23 por ciento mayor que hace dos años. El año pasado, el 80 por ciento de los ataques cibernéticos globales se llevaron a cabo por bandas de crimen bien organizados, quienes robaron más de US$ 445 mil millones, además de millones de registros y datos personales.
Los ciberdelincuentes no diferencian entre industrias, tamaño de empresas o tipo de organización. Hay urgencia de actuar ahora para tomar las decisiones correctas y hacer las inversiones necesarias para minimizar estos ataques. Un entorno digital seguro es una condición esencial para que todas las organizaciones se desarrollen plenamente e innoven con éxito; y para que los ciudadanos se sientan seguros en la adopción de estas innovaciones.
El cuadro inferior muestra los resultados sobre qué amenazas y vulnerabilidades han incrementado más la exposición al riesgo de las empresas en los últimos 12 meses. Todavía existe una negación a ver la gestión de los accesos como un creciente desafío de seguridad cibernética: el 91% de los encuestados en el Perú (y 68% a nivel global) no considera monitorear el ecosistema de su negocio como un esquema de seguridad de la información en Internet.
El gráfico muestra que las dos vulnerabilidades más altas para los encuestados, empleados imprudentes o poco concientizados y controles de seguridad obsoletos. Según EY, “en 2014, estas dos vulnerabilidades eran percibidas como prioridades alta y más alta, pero el grado de vulnerabilidad que sienten las organizaciones ha disminuido en estas áreas. Hoy, solo el 44% se siente vulnerable con respecto a empleados imprudentes, en comparación con el 57% en 2014; solo el 34% se sienten vulnerables debido a sistemas obsoletos, en comparación con el 52% en 2014.” Esto muestra que las organizaciones creen que están cubriendo sus vulnerabilidades de manera más eficaz.
Por otro lado, las dos amenazas más altas son: Phishing y Malware. Según EY, “estas amenazas figuraron en el 5to y 7mo lugar en el año 2014, junto al robo de información financiera, propiedad intelectual, la amenaza de fraude, espionaje y ataques de día cero, todos considerados como más altos.” Esta percepción tan exacerbada del phishing y el malware como amenazas demuestra un cambio claro de perspectiva.
¿Cómo se pueden evitar estos ataques? Para EY, el punto de partida para generar confianza en la organización es analizar continuamente la forma en que las empresas son vistas ante un atacante cibernético. Éstas a menudo están familiarizadas con las mejores prácticas de gestión de riesgos y es un punto de partida útil para analizar y plantear un sistema de seguridad cibernética (ver cuadro inferior).
Según la encuesta Global de Seguridad del 2014 de EY, existen tres etapas de madurez de seguridad cibernética: Activar, Adaptar y Anticipar (las tres As) que necesitan ejecutarse en secuencia con el fin de lograr medidas de seguridad cibernética cada vez más avanzadas e integrales en cada etapa.
1. Activar
Las organizaciones necesitan tener una base sólida sobre seguridad cibernética. Este comprende un amplio conjunto de medidas de seguridad de la información que proporcionarán defensa básica (pero no suficiente) frente a los ataques cibernéticos. En esta etapa, las organizaciones establecen sus fundamentos, que «activan» su seguridad cibernética.
2. Adaptar
Así como las organizaciones cambian, las amenazas también cambian con el tiempo. Por lo tanto, el fundamento de las medidas de seguridad de la información debe adaptarse para seguir el ritmo y cumplir con los requisitos y las dinámicas cambiantes del negocio, por lo contrario serán cada vez menos eficaces en el tiempo. En esta etapa, las organizaciones trabajan para mantener su seguridad cibernética actualizada; es decir, que «adaptarse» a las necesidades cambiantes.
3. Anticipar
Las organizaciones necesitan desarrollar tácticas para detectar y detraer potenciales ataques cibernéticos. Tienen que saber exactamente lo que necesitan para protegerse y ensayar respuestas adecuadas: esto requiere una capacidad de inteligencia cibernética avanzada, una sólida metodología de evaluación de riesgos, un mecanismo de respuesta con experiencia y una organización informada. En esta etapa, las organizaciones tienen más confianza en su capacidad para manejar las amenazas más predecibles y ataques inesperados; es decir, ‘anticipar’ los ciberataques.
Si bien en el Perú no ha habido un ataque cibernético de gran magnitud, es preocupante que las empresas no cuenten con un rol o función en el área de seguridad de información dedicada al análisis o evaluación de tecnologías emergentes para poder prevenir este tipo de vulnerabilidades.
La única manera de crear un entorno de este tipo es impulsando una mayor conciencia en los peligros de los ciberataques y en cómo resolverlos. Si se hace, no sólo se estaría ayudando a crear el clima favorable necesario para la innovación en el Perú, sino que también le permitirá al país desarrollar los conocimientos y habilidades para protegerse vía la seguridad cibernética. Solo así el Perú podrá innovar y aprovechar los beneficios de las tecnologías de punta con confianza y tranquilidad. La ciberseguridad es un componente esencial para el desarrollo de innovación y una garantía de la prosperidad económica del país. Lampadia