5 minutos de lectura 15 feb. 2022

Ciberataques: ¿quién se salva?

Por Elder Cama

Consulting Partner, EY Perú

Socio de Consultoría de EY Perú, responsable de los servicios de ciberseguridad, seguridad de la información, cumplimiento normativo y de la emisión de reportes SSAE18 (ex - SAS70) e ISAE3402.

5 minutos de lectura 15 feb. 2022
Temas relacionados Ciberseguridad

Esta publicación es parte de la Revista Execution.

Los ciberataques se han convertido en una práctica común que afecta a miles de empresas a nivel mundial.

¿Qué tienen en común Acer, NBA, Oleoducto Colonial o JBS Foods? Son las empresas que a nivel global sufrieron los ciberataques más grandes del 2021, y que pagaron -algunas de ellas-, entre US$4.4 millones y US$11 millones como rescate en bitcoins. A esta lista de empresas, se suman muchas más alrededor del mundo, que en muchos casos niegan haber sido víctimas de estos ataques con tal de no ver perjudicada su imagen, pero lo cierto es que esta es una práctica bastante común.

De acuerdo con SonicWall (empresa de ciberseguridad), el 2021 cerró con un total de 714 millones de ataques ransomware (secuestro de datos que restringe el acceso del propietario y sobre el cual se pide un rescate). Este es uno de los tipos de ciberataques más comunes, y que más desembolsos ha logrado. Se calcula que cada 10.2 segundos exista un ataque ransomware, generando en el año 2021 daños cercanos a los US$32,000 millones, y con una proyección exorbitante para el 2030: un ataque ransomware cada 1.8 segundos y daños cercanos a los US$299,000 millones (para hacernos una idea, esto es mayor que el PBI actual de Perú).

Por el momento solo hemos analizado los ataques ransomware, pero la realidad de los ciberataques se extiende por al menos 10 tipos y diversas variedades de cada uno de ellos, siendo los más conocidos: Denial of Service (DoS), Malware (dentro del cual una variedad es el ransomware), Phising, Password Cracking, entre otros. Y lo cierto es que el Perú no es ajeno a estos ataques. De acuerdo con un reporte de Fortinet, durante el 1S2021 Latinoamérica sufrió más de 91,000 millones de ataques cibernéticos. Los países con más ataques recibidos fueron: México (60.8 mil millones), Brasil (16.2 mil millones), Perú (4.7 mil millones) y Colombia (3.7 mil millones).

A nivel empresarial, la demanda de rescates en bitcoins ya se ha dado en algunas empresas en el Perú que se han visto afectadas por un ransomware
Elder Cama
Consulting Partner, EY Perú

Global

42%

Latam Norte

46%

Perú

53%

El presupuesto forma parte de un gasto corporativo y/o organizacional mayor (por ejemplo, el de TI y/o tecnología) y se define de manera dinámica. 

Global

22%

Latam Norte

14%

Perú

11%

El gasto en ciberseguridad es fijo, se comparte con todas las unidades de negocios y se define por ciclos.

Global

19%

Latam Norte

13%

Perú

11%

El presupuesto es una parte fija de un gasto corporativo/organizacional mayor (por ejemplo, el 5% de TI y/o tecnología) y se define por ciclos. 

Global

15%

Latam Norte

18%

Perú

16%

El gasto en ciberseguridad se comparte con todas las unidades de negocio, las cuales definen su contribución de forma dinámica con base en el uso. 

Fuente: GISS 2021 - EY

Pero ¿qué más podemos esperar? Pues mucho más. La pandemia ha promovido un desarrollo y adopción tecnológica sin igual, y esto está abriendo algunos riesgos. Hoy, por ejemplo, los empleadores están buscando respaldar modelos de trabajo híbridos, todo ello conlleva a la inversión en nueva tecnología para trabajo virtual, ya sea por parte del empleador o del empleado, lo que abre la posibilidad de una mayor exposición si las empresas no pueden abordar la seguridad ante este cambio. 

A esto se suma que los presupuestos no están alineados con las necesidades. De acuerdo con las empresas encuestadas en el “Global Information Security Survey (GISS) 2021” de EY, en promedio solo destinaron 0.05% de sus ingresos para temas de ciberseguridad. Hay que entender que la reducción de costos crea nuevas debilidades, y hay muchas acciones que pueden afectar y no las estamos viendo.

¿Qué podemos hacer? 

Los resultados de la encuesta de EY a 411 CEOs, CIOs y otros ejecutivos encargados de los temas de ciberseguridad revelan que las acciones simples que se tomen ahora pueden generar recompensas sustanciales en el futuro. Estas lecciones han surgido de quienes han experimentado infracciones importantes.

1. Centrarse en la "confianza cero" 

La seguridad de “confianza cero” (zero trust) no es una tecnología única, sino un enfoque holístico de la seguridad que incorpora diferentes principios cibernéticos entre las personas, los procesos y la tecnología. La base del concepto es la suposición de que existen actores de amenazas dentro y fuera de las organizaciones, por lo que no se debe confiar en usuarios o máquinas. Todos los usuarios y dispositivos (ambos dentro y fuera de la organización) se autentican, autorizan y validan continuamente para las configuraciones de seguridad y el contexto antes de acceder a las aplicaciones y los datos. 

2. Eduque e involucre a su Directorio ahora 

No es sorprendente que las juntas directivas estén cada vez más interesadas en prevenir las filtraciones de datos y determinar cómo priorizar las necesidades de ciberseguridad. Los ejecutivos que han experimentado una violación de datos dicen que la experiencia les ha enseñado a involucrar a muchas más partes interesadas en las decisiones de seguridad cibernética, incluidas los Directorios. Las empresas deben crear de forma proactiva un panel ejecutivo a nivel del Directorio, al mismo tiempo que informan al mismo sobre los problemas de seguridad cibernética al menos una vez al año. 

3. Refuerce el papel del CISO como socio estratégico del negocio 

Durante la pandemia, todas las organizaciones tuvieron que adaptarse a una nueva forma de trabajar. Sin embargo, la velocidad del cambio tuvo un precio. El 75% de las empresas vio el aumento en el número de ataques disruptivos durante la pandemia, según el GISS 2021 de EY. En este sentido, muchas empresas se vieron obligadas a adaptarse a un perfil de riesgo cibernético diferente, tal como lo tiene que hacer una organización después de experimentar una brecha. Los CISO tuvieron y aún tienen la oportunidad de reforzar su propuesta de valor con el negocio. Con el inicio de la pandemia, el 55% de los líderes en ciberseguridad creían que esto les brindaba la oportunidad de posicionarse como socios estratégicos del negocio. 

4. Evalúe el uso de proveedores de servicios de seguridad administrados 

Mantenerse al día con las últimas tecnologías de seguridad y evaluar las amenazas son los puntos débiles más desafiantes para los CISO de hoy. Las empresas que han experimentado recientemente una infracción tienen más probabilidades de subcontratar las responsabilidades de seguridad cibernética después de la infracción. Al iniciar el proceso lento de revisar las opciones de subcontratación y las capacidades del proveedor antes de una infracción, las empresas pueden desarrollar una mejor arquitectura y postura de seguridad. 

5. Invierta ahora, ahorre más tarde 

Según la encuesta, las empresas que han experimentado recientemente una infracción esperan gastar más en todos los dominios de seguridad, y se espera que las evaluaciones de vulnerabilidad y los controles de acceso experimenten los mayores aumentos presupuestarios. Para protegerse de los sofisticados ataques actuales, las empresas deben reforzar sus capacidades de ciberseguridad o subcontratarlas a proveedores externos. Muchos ejecutivos toman decisiones para reforzar las capacidades no solo para prevenir ataques, sino también para mitigar el daño y acortar el tiempo de recuperación. 

Resumen

En el mundo cada 10.2 segundos se realiza un ciberataque ransomware, generando pérdidas económicas que ascienden a los US$32,000 millones. En este contexto, es importante tomar medidas para reforzar el papel del CISO y prevenir este tipo de ataques.

Acerca de este artículo

Por Elder Cama

Consulting Partner, EY Perú

Socio de Consultoría de EY Perú, responsable de los servicios de ciberseguridad, seguridad de la información, cumplimiento normativo y de la emisión de reportes SSAE18 (ex - SAS70) e ISAE3402.

Related topics Ciberseguridad