A medida que el número de transacciones digitales aumenta drásticamente, también lo hace el riesgo y la probabilidad de un ciberataque. Esto significa que las organizaciones que manejan grandes cantidades de datos confidenciales tienen más probabilidades de convertirse en objetivos de los piratas informáticos que buscan explotar esta información que se almacena dentro de las redes corporativas.
Como resultado, las empresas se encuentran cada vez más expuestas a lo que se conoce como una «brecha de riesgo cibernético» causada por una combinación de factores que he descrito a continuación.
Hoy eres un objetivo de oportunidad y un objetivo de elección, solo depende del día
Existen innumerables formas para que los actores de amenazas y los hackers penetren en los sistemas corporativos de TI, con el potencial de causar daños considerables a las empresas ubicadas en cualquier lugar del mundo.
Los ataques maliciosos, como el ransomware, fueron prolíficos durante 2017, uno de los más notables fue WannaCry. Sin embargo, incluso con todo el furor público en torno a WannaCry, sabemos que miles de organizaciones siguen utilizando la mayoría de sus computadoras en sistemas operativos obsoletos, lo que casi triplica la posibilidad de una violación de datos.
Después de WannaCry , lanzamos un informe titulado «Un riesgo creciente ignorado: actualizaciones críticas», que analizó más de 35,000 empresas de industrias de todo el mundo que buscan específicamente el uso de prácticas y sistemas informáticos desactualizados y la correlación con las infracciones de datos. Descubrimos que existen grandes lagunas en los programas de gestión de activos y que las organizaciones claramente necesitan estar más atentos a la limitación de su superficie de ataque para abordar más rápidamente las vulnerabilidades explotables.
Y solo para agregar a esto, mientras somos conscientes de los ataques de alto perfil, como WannaCry, esto es solo la punta del iceberg. Hay muchas otras formas de malware en venta que se esconden en las sombras de la web profunda y oscura (DDW) que no se denuncian.
Según el informe ‘The Ransomware Economy’ de Carbon Black , había más de 6.300 mercados web oscuros vendiendo ransomware, con 45.000 listados de productos en 2017.
Lo que estas tendencias muestran es que los ciberdelincuentes están aprovechando las oportunidades para ingresar al mercado de ransomware y obtener métodos maliciosos para atacar negocios que son fáciles de implementar y ofrecen retornos de inversión atractivos.
Muestra que los ciberdelitos continúan representando un problema creciente para las organizaciones. Las consecuencias de algunas de estas amenazas se publican y reciben una amplia cobertura de los medios, pero muchas no se denuncian. A menudo es demasiado tarde para que las empresas con sistemas operativos y navegadores obsoletos hagan algo al respecto.
Las empresas deben adoptar un enfoque más proactivo para actualizar sus sistemas, ya que sin duda veremos ataques aún mayores en el futuro. Las juntas ahora están despertando al hecho de que la seguridad cibernética ya no es solo un problema tecnológico, también es un riesgo comercial.
Expansión de la cadena de suministro digital
Para agravar este problema, las organizaciones están haciendo negocios con más proveedores que nunca: sus ecosistemas se están expandiendo para incluir terceros y terceros. Esto significa que las organizaciones están asumiendo el riesgo de potencialmente cientos o miles de socios comerciales. Las partes tercera y cuarta son responsabilidades porque pueden acceder a su red de TI. A medida que la cadena de suministro se fragmenta, se ha vuelto mucho más fácil hacer negocios en línea. Sin embargo, la desventaja es que las empresas corren un mayor riesgo de exposición a redes de proveedores inseguras.
La mayoría de las organizaciones manejan esto con un proceso de evaluación de riesgo cibernético que es laborioso, de naturaleza cualitativa e incapaz de escalar. Al crear una estrategia de gestión de riesgos, es importante contar con procesos de evaluación que puedan ampliarse para satisfacer al creciente número de proveedores que trabajan con su empresa.
Los enfoques tradicionales de las evaluaciones de amenazas, como las pruebas de penetración y los cuestionarios, tienden a ser cualitativos y episódicos. Solo pueden analizar el riesgo en un determinado momento. Si bien es una parte importante del proceso de gestión de riesgos, estas actividades de mano de obra intensiva no pueden escalar para cumplir con los requisitos de volumen y tiempo del entorno de riesgo actual.
Entorno regulatorio que enfoca la mente
El impacto de la regulación depende en gran medida del sector de la industria, pero la mayoría de las organizaciones estarán sujetas a algún tipo de regulación y, a menudo, esto no se tiene en cuenta desde la perspectiva del riesgo cibernético.
Las regulaciones que abarcan todos los sectores industriales, como el Reglamento General de Protección de Datos (GDPR), que entra en vigor el 25 º de mayo de este año, tendrán que ser parte del programa de gestión de riesgos cibernéticos de cualquier organización. De hecho, el Artículo 32 del GDPR establece que las organizaciones que recopilan datos personales deben tener procesos rigurosos de debida diligencia para garantizar que existan controles adecuados antes de compartir datos con terceros.
Es fundamental que las organizaciones implementen evaluaciones cualitativas, cuantitativas y continuas. Al tiempo que se mitiga el riesgo proactivamente, es crucial tener una herramienta de medición estándar cuando se consideran los riesgos internos y de terceros. Aquí en BitSight ayudamos a las organizaciones a transformar la forma en que administran los riesgos de seguridad de la información.
La BitSight Security Ratings Platform aplica algoritmos sofisticados, que producen calificaciones de seguridad diarias, para ayudar a gestionar el riesgo de terceros, suscribir pólizas de seguro cibernético, comparar el rendimiento, llevar a cabo procesos de fusiones y adquisiciones y evaluar el riesgo agregado.
Las firmas analistas bien conocidas e independientes están de acuerdo. Según Gartner, se les pide al 80% de los líderes de gestión de riesgos de seguridad que presenten a los altos ejecutivos el estado de su programa de seguridad y riesgo y se espera que el 75% de las compañías Fortune 500 traten la gestión de riesgos de proveedores como una iniciativa a nivel de Junta para mitigar marca y riesgo de reputación.
Y Forrester recomienda que los CISO comprendan mejor las calificaciones de seguridad, «a medida que las empresas buscan mejorar la forma en que manejan y mitigan los riesgos de terceros y terceros, las calificaciones de seguridad y otros servicios de inteligencia de riesgos de terceros ocupan un lugar central».
En el entorno incierto de hoy, la Junta solicita actualizaciones más de una vez al año y esto ha llevado a la aparición de comités de seguridad. Como resultado, el «riesgo» es ahora un elemento permanente de la agenda de la Sala de Reuniones y que será objeto de un gran escrutinio por parte de los altos ejecutivos en el futuro. Así que asegúrese de cubrir su brecha de riesgo cibernético.
ALD/Anticorruptiondigest
