Actualmente, el uso de Internet parece indispensable para cualquier compañía, por lo que utilizar ordenadores se ha vuelto técnicamente obligatorio, por desgracia, la web es vulnerable y los delitos cibernéticos se han convertido en un grave riesgo para las empresas.

Introducción

En la actualidad, las compañías implementan cada vez más modelos de negocio basados en las tecnologías. Este avance ha propiciado un cambio sin precedentes que ha influido en la forma de operar de las organizaciones, incrementando la necesidad de utilizar plataformas de colaboración en donde el acceso a la información se vuelve esencial para todos, lo cual se sustenta hoy más que nunca en el ciberespacio.

Es por ello que las áreas de Auditoría Interna deben estar atentas a dar aseguramiento de dichas áreas de acuerdo con su plan de auditoría basado en riesgo.

Con la llegada de Internet, la forma de hacer negocios ha cambiado de forma vertiginosa, gracias a las oportunidades que la red brinda, ahora es mucho más fácil almacenar datos, transferir información y realizar movimientos financieros sin importar el tiempo y el espacio.

Actualmente, el uso de Internet parece indispensable para cualquier compañía, por lo que utilizar ordenadores se ha vuelto técnicamente obligatorio, por desgracia, la web es vulnerable y los delitos cibernéticos se han convertido en un grave riesgo para las empresas.

Riesgo Cibernético

El concepto de riesgo cibernético proviene de la amenaza continua y a escala industrial sobre los activos digitales, las operaciones y la información corporativa, por parte de terceros. Existen también amenazas que atentan principalmente contra la información y contra la infraestructura TIC.

De acuerdo al World Economic Forum en su informe global de riesgos 2018, los riesgos en cuanto a ciberseguridad en contra de empresas, tanto en términos de su prevalencia como de su potencial disruptivo, casi se han duplicado en cinco años y los incidentes que antes se consideraban algo fuera de lo común se están volviendo más y más comunes.

El impacto financiero de toda violación contra la ciberseguridad va en aumento, y dan cuenta de algunos de los costos más elevados en 2017 en relación con ataques con ransomware (software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear un dispositivo desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados), que representaron el 64% de todos los e-mails maliciosos.

Entre los ejemplos más notables se incluye el ataque WannaCry que afectó a 300.000 computadoras en 150 países, y el NotPetya, que causó pérdidas trimestrales de US $300 millones a varias empresas afectadas. Otra de las tendencias crecientes consiste en el uso de ciberataques que apuntan a infraestructura esencial y sectores industriales estratégicos, lo cual hace temer que en el peor de los casos posibles los atacantes podrían provocar el colapso de sistemas que mantienen a sociedades enteras en funcionamiento.

De acuerdo con el estudio de PwC Global Investor Survey 2018, el 41% de analistas e inversionistas encuestados consideran que los ataques ya son la principal amenaza para los negocios, seguido por la incertidumbre geopolítica, la velocidad de los cambios tecnológicos, el populismo y el proteccionismo.

Al momento de evaluar los riesgos de ciberseguridad, es necesario hacerlo desde un enfoque especial para la organización: entender el contexto, identificar activos, evaluar amenazas y vulnerabilidades.

Por otro lado, es de suma importancia entender aquellos factores que incrementan la exposición al riesgo, con el objetivo de mitigarlos, por ejemplo:

Marco para evaluar riesgos de ciberseguridad.

Según algunos estudios, parte del problema que están enfrentando las compañías a nivel global, es que no saben cómo invertir apropiadamente sus recursos para defenderse de los ciberataques como corresponde, por lo cual para contrarrestar inversiones inapropiadas en sistemas de defensa de ciberataques, las organizaciones deben evaluar a profundidad el tipo de ataques a los que son más susceptibles, y consecuentemente, implementar programas al interior de las organizaciones que permitan equilibrar la relación costo-beneficio de sus sistemas de protección.

El costo financiero de los ciberataques varía según la modalidad pero, en términos generales, las principales afectaciones que sufren las empresas por cuenta del cibercrimen, se originan en malware, ataques a través de páginas web, denegación de servicios, filtración de información a través de empleados activos o antiguos ex empleados, código malicioso que abre accesos a las plataformas corporativas, el robo físico de dispositivos electrónicos, y los robots informáticos, conocidos también como botnets.

5 funciones necesarias para la protección de los activos

El National Institute of Standards and Technology (NIST) establece 5 funciones necesarias para la protección de los activos:

  1. Identificar (Identify): Permite determinar los sistemas, activos, datos y competencias de la organización, su contexto de negocio, los recursos que soportan las funciones críticas y los riesgos de ciberseguridad que afectan este entorno.
  2. Proteger (Protect): Permite desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.
  3. Detectar (Detect): Permite desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua.
  4. Responder (Respond): Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
  5. Recuperar (Recover): Permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente.

El Tres Líneas de Defensa

El modelo 3LD (Tres Líneas de Defensa) realza el entendimiento del manejo de riesgos y controles mediante la asignación o clarificación de roles y responsabilidades a través de toda la organización y entendiendo este modelo, es como Auditoría Interna puede añadir valor a través del aseguramiento de las actividades que realizan la Primera y Segunda línea.

De acuerdo con ISACA, dentro de los CSX Fundamentos de ciberseguridad, es necesario evaluar los riesgos de ciberseguridad desde los siguientes enfoques para elegir el plan de protección más ad hoc a la empresa:

  1. Entender el contexto de la organización.
  2. Identificar activos, evaluar las amenazas y evaluar las vulnerabilidades.
  3. Generar escenarios de riesgo.
  4. Análisis de riesgo.
  5. Evaluar controles de seguridad existentes.
  6. Administración de riesgos ( mitigar, aceptar ,evitar, compartir).

Asimismo, nos proporciona un marco para evaluar los riesgos de ciberseguridad y partir de ese punto para elaborar nuestro plan de seguridad:

Puntos a incluir en un plan de ciberseguridad.

Una vez identificando los activos y las personas que los utilizan es importante establecer los controles relevantes de seguridad que se instalarán en la empresa, para lo cual el SANS Institute nos proporciona un check list de 20 controles críticos que podemos seguir:

20 controles críticos de ciberseguridad.

El Gobernador del Banco de México, Alejandro Díaz de León después de los ataques a los sistemas de conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI) en abril y mayo del 2018, afirmó que “es claro que es un riesgo que va a estar un largo tiempo e implicará riesgos operativos significativos para las instituciones”.

Es claro que es un riesgo que va a estar un largo tiempo e implicará riesgos operativos significativos para las instituciones.

Alejandro Díaz de León, Gobernador del Banco de México.

Conclusiones

La gestión de riesgos de ciberseguridad se ha convertido en una necesidad y las áreas de Auditoría Interna tienen el desafío de asegurarse de la implementación de controles de prevención y detección de ciberseguridad.

Es necesario garantizar que los miembros del Consejo estén informados sobre las amenazas específicas de la industria y del impacto que pueden tener los incidentes de ciberseguridad en la organización. Una comunicación entre las tres líneas de defensa y el Consejo resulta esencial.

Referencias:

  • National Institute of Standards and Technology www.nist.gov
  • www.eleconomista.com.mx
  • www.altonivel.com.mx
  • www.isaca.org
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *