orm_icon

 

Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

Gestión
de seguridad de la información


Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

Cumplimiento
normativo


Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

Gestión de riesgos de lavado de activos

Identifica, establece controles y monitorea fácilmente los riesgos LAFT→
icono_auditoria

 

Auditoría

Mejora tus procesos de auditoría, apoya el cumplimiento normativo y genera valor a tu organización a través de la mejora continua →
como-hacer-un-flujo-de-gestión-de-eventos-Natalia

Próxima clase: Cómo hacer un flujo de gestión de eventos Jueves 04 de abril, 10:00 a.m. GMT-5.

header_academy_v2

Seguridad de la información en México

México es uno de los países de Latinoamérica en el que más se materializan ataques de los cibercriminales. Conoce aquí un poco sobre la situación que vive este país y cómo gestionar adecuadamente los riesgos de seguridad de la información a los que están expuestas las organizaciones.

Portada

Introducción

Durante el primer semestre de 2022, según un reporte publicado por la empresa de ciberseguridad Fortinet, en Latinoamérica se presentaron 137.000 millones de intentos de ciberataques; de estos, 85.000 millones ocurrieron en México, un 40% más con respecto al mismo período en 2021. 

El principal ciberataque del que son víctimas las organizaciones en la región es el ransomware, del que cada vez hay más variantes potentes y sofisticadas que atacan a empresas de todos los sectores industriales e incluso a los gobiernos, imposibilitando el acceso a los sistemas de información y a los archivos. 

Según el reporte de Fortinet, las campañas de ransomware más activas fueron Revil, LockBit, Hive y Conti. 

Frente a esta situación, es importante entender por qué México es uno de los países que más interesa a los ciberdelincuentes, quienes no siempre lo hacen con fines económicos, también se presentan ciberataques que tienen como propósito principal causar un daño a la imagen y reputación de una persona, organización o gobierno, incluso pueden ir más allá y tener como objetivo el desequilibrio político del país. 

Expertos en seguridad de la información han identificado diferentes razones por las que México es un blanco de ataque atractivo para los cibercriminales. 

Una de las más importantes, sin duda, es la falta de concientización sobre la necesidad de la ciberseguridad y la protección de los sistemas informáticos; así como la falta de regulaciones sólidas sobre esto y la falta de profesionales especializados y capacitados para prevenir ciberataques y garantizar la confidencialidad, integridad y disponibilidad de la información en las organizaciones. 

A partir de esta realidad en materia de seguridad de la información y ciberseguridad que se vive en México, a continuación te contaremos un poco más sobre: causas y consecuencias de los ciberataques y cuáles son los que más se presentan; gestión de riesgos de seguridad de la información; buenas prácticas para prevenir riesgos cibernéticos y de qué se trata la ciber resiliencia. 

El objetivo es que puedas entender la importancia y valor que tiene para las organizaciones, de todas las industrias y tamaños, proteger de manera apropiada toda la información que custodian y que es responsabilidad de todos tomar las medidas necesarias para evitar ser víctimas de un ciberataque, que puede poner en riesgo no solo la operación y la reputación de la empresa sino también su continuidad. 

seguridad-informacion-mexico

Ciberataques: causas y consecuencias

Un ciberataque consiste en un conjunto de acciones dirigidas contra los sistemas de información de una organización con el objetivo de robar, exponer, alterar, deshabilitar o destruir información de valor, perjudicando así a personas y a entidades públicas o privadas.

Ebook_image1

Pero más allá de los motivos que estos tengan, que pueden ser criminales, personales o sociopolíticos, es importante conocer cuáles son las principales causas que pueden generar un ataque cibernético contra las bases de datos o redes computacionales de una organización.

Causas de un ciberataque

  1. Vulnerabilidades en los sistemas informáticos, es decir, la presencia de fallas o deficiencias en estos que los ponen en riesgo y facilitan el accionar delictivo de los cibercriminales. 

  2. Divulgación de información confidencial de la organización por parte de los empleados, generalmente de forma accidental por desconocimiento, falta de concientización o malas prácticas de protección de la información. 

  3. Pérdida o robo de dispositivos electrónicos que almacenan información privada y crítica de la empresa. 

  4. Empleados con malas intenciones y sin escrúpulos que se prestan para ser el enlace que necesitan los ciberdelincuentes para atacar los sistemas informáticos de la organización.

  5. Brechas o falta de controles por parte de terceros, es decir, si estos son víctimas de un ataque, los ciberdelincuentes pueden acceder a información de otras empresas con las que tienen relaciones y buscar la manera de también perjudicarlas. 

  6. Ingeniería social, social engineering, técnica utilizada por los cibercriminales que  consiste en manipular y engañar a personas específicas, por lo general usuarios incautos, con el fin de obtener datos confidenciales como contraseñas y otros datos de gran valor de la organización. 

Todas estas situaciones pueden facilitar la materialización de un ciberataque, que puede presentarse de diferentes formas, por ejemplo, malware, ransomware, phishing, denegación de servicio, entre otros. Más adelante veremos de qué se tratan algunos de estos. 

Por ahora veamos cuáles son esas consecuencias que puede traer para una organización ser víctima de un ataque cibernético.

Consecuencias de un ciberataque

  1. Afectación a la reputación de la organización, dado que esta se basa en la confianza y puede verse disminuida al conocerse que se ha sufrido un ataque cibernético, pues deja ver que hay serias vulnerabilidades en los protocolos de protección de la información. 

  2. Interrupción de las actividades o retrasos en los procesos de producción o prestación de los servicios porque los sistemas informáticos están bloqueados, hay secuestro de información valiosa y una parte del personal está enfocado en concretar el rescate y dar solución a la situación cuanto antes para poder operar con normalidad. 

  3. Pérdida o manipulación de datos críticos para la organización. Al acceder a los sistemas informáticos, los cibercriminales pueden alterar, difundir y eliminar información de valor sobre la operación de la empresa, sus clientes, sus estados financieros, sus políticas y mucho más. 

  4. Afectaciones económicas. Esta consecuencia se da en dos vías: por un lado, los ciberdelincuentes suelen pedir grandes cantidades de dinero por el rescate de la información que han secuestrado (los rescates pueden ir desde los US $200.000 hasta los US $10.000.000).

    Y por otro lado, al haber interrupción de las actividades, no se produce o se prestan los servicios de la misma forma, además, para dar una pronta solución a la situación, muchas veces es necesario contar con el asesoramiento y acompañamiento tecnológico y legal de personal experto. 

  5. Pérdida de clientes y proveedores. Esta consecuencia está relacionada con la afectación a la reputación e imagen de la organización, pues este tipo de públicos pueden dejar de confiar en esta porque ven que es vulnerable y tiene fallas en sus sistemas que podrían ponerlos también en riesgo. 

Ransomware y otros ciberataques

Como mencionamos en la introducción, el ransomware es el principal ciberataque que sufren las organizaciones en Latinoamérica. A continuación te contamos de qué se trata este tipo de ataque y otros que utilizan los cibercriminales para aprovechar las vulnerabilidades de los sistemas informáticos y desestabilizar a las organizaciones.

Ransomware

A este tipo de ataque también se le conoce como secuestro de datos. Se trata de un tipo de malware, es decir, un software malintencionado, que aprovecha las debilidades del sistema y usa un código de encriptación sólido que imposibilita a los usuarios acceder al sistema y sus archivos; para que lo puedan hacer, se les exige el pago de un rescate.

Phishing

Este ciberataque se efectúa a través del envío de correos electrónicos o mensajes de texto que aparentemente provienen de una fuente legítima y confiable, pero que utilizan hipervínculos falsos y maliciosos que ponen en riesgo la información personal o de la organización. Generalmente buscan acceder a datos confidenciales como números de tarjetas de crédito o a los documentos de identificación.  

Denegación de servicio distribuidos (DDoS)

Consiste en atacar a un sitio web inundándolo con solicitudes durante un corto periodo de tiempo, esto con el fin de atosigarlo, impedir las respuestas a las solicitudes de servicio y provocar su caída. Estos ataques vienen de diferentes lugares al mismo tiempo y entre sus principales víctimas están las tiendas online, los casinos online y cualquier empresa que brinde servicios en la web. 

Inyección de SQL: Lenguaje de Consulta Estructurado

Se trata de un ataque que incorpora código malicioso que aprovecha errores y vulnerabilidades de una página web. Es utilizado para robar bases de datos, manipular o destruir información y ejecutar comandos o acciones que el usuario no solicita. 

Explotación de día cero

Este tipo de ataque aprovecha las debilidades o fallas desconocidas que tiene el hardware o software con el fin de causar daños o robar datos de valor. 

Estos son solo algunos de los ciberataques que podrían sufrir tanto las organizaciones privadas como las entidades públicas. 

Frente a estos, es clave tener en cuenta que los cibercriminales están en constante evolución y siempre están buscando la manera de atacar los sistemas informáticos y causar daños sin ser fácilmente detectados, por eso, todas las organizaciones deben tomar las medidas necesarias que les permita estar a la vanguardia en materia de ciberseguridad y gestión de riesgos asociados a esta. 

Gestión de riesgos de seguridad de la información

Independiente de la industria y tamaño que tenga una organización, una buena práctica para proteger los activos y sistemas informáticos contra la acción de los ciberdelincuentes es establecer e implementar un Sistema de Gestión de Seguridad de la Información, un SGSI, que tiene como propósito fundamental garantizar la confidencialidad, integridad y disponibilidad de la información. 

La norma ISO 27001 brinda un modelo consistente para el establecimiento, implementación, monitoreo, revisión y mantenimiento de este sistema, que debe permitir la adecuada gestión de los activos de información con los que cuenta la organización, así como la gestión de los diferentes riesgos y amenazas a los que estos están expuestos y que pueden afectar tanto la operación como la continuidad del negocio. 

¿Cómo implementar un SGSI a partir de la ISO 27001?

Tal como lo propone la estructura de este estándar internacional, que fue publicado por primera vez en el año 2005 y actualizado en el año 2013, es importante tener claro los siguientes elementos para la implementación, funcionamiento y mejora de un Sistema de Gestión de Seguridad de la Información, SGSI:

Ebook_image2

1. Contexto de la organización

Es la cláusula cuatro de la norma. Aquí lo primero que se debe hacer es tener una comprensión de la organización, es decir, conocer cuál es el objeto de esta y a partir de ahí comprender cuáles son las necesidades y expectativas de las partes interesadas, por ejemplo de la alta dirección.

Con esto claro, lo siguiente es determinar el ámbito de aplicación que tendrá el SGSI, es decir, a cuáles áreas del negocio y activos críticos de la organización le va a aplicar este sistema.

2. Liderazgo y compromiso de la dirección

La cláusula cinco de la norma hace referencia a la importancia de contar con un verdadero compromiso de la alta dirección de la organización para la implementación y funcionamiento del SGSI. 

En este sentido es fundamental que haya una adecuada orientación estratégica para que el sistema de seguridad de la información sea compatible con los objetivos del negocio. Así mismo, es clave que la alta dirección garantice que los recursos estén siempre disponibles para el adecuado funcionamiento del SGSI y que la comunicación sea constante.

Dentro de esta cláusula cinco se encuentra la definición de la Política de Seguridad de la Información, que es responsabilidad de la alta dirección y que debe:

  • Ser apropiada para los fines de la organización.
  • Proporcionar un marco para establecer objetivos de seguridad de la información.
  • Incluir un compromiso de cumplir los requisitos aplicables y un compromiso de mejora continua del SGSI.
  • Estar disponible como información documentada.
  • Ser comunicada dentro de la organización.
Estar a disposición de todas las partes interesadas, según corresponda.

Nueva llamada a la acción

Por otro lado, como parte de la cláusula 5, la alta dirección debe asegurarse de asignar las autoridades y responsabilidades para garantizar que el SGSI es establecido y se ejecuta correctamente de acuerdo a los requisitos de la norma ISO 27001. 

3. Planificación

La planificación es la cláusula seis de la norma, como parte de esta es importante:

  • Determinar riesgos y oportunidades con el fin de asegurar el logro de los objetivos establecidos para el SGSI.
  • Evaluar los riesgos de seguridad de la información teniendo en cuenta la criticidad de los activos de la organización y la probabilidad e impacto de cada riesgo. 
  • Tratar los riesgos de seguridad de la información seleccionando la opción u opciones que mejor se ajusten a los intereses de la organización, es decir, aceptar, mitigar, transferir o evitar el riesgo.
  • Tener claros los objetivos de seguridad de la información, que deben ser coherentes con la Política de Seguridad de la Información.

4. Apoyo

Esta es la cláusula siete de la norma, aquí se debe tener en cuenta:

  • Recursos: la organización debe proporcionar los recursos necesarios para el buen funcionamiento del SGSI. 
  • Competencia: se debe contar con personal competente para realizar las diferentes tareas y funciones relacionadas con el SGSI.

  • Concientización o sensibilización: todo el personal de la organización debe ser consciente de la Política de Seguridad de la Información, así como de sus responsabilidades para el funcionamiento del sistema. 
  • Comunicación: se debe contar con mecanismos de comunicación adecuados con las partes interesadas internas y externas a la organización. 
  • Documentación: todo el SGSI debe estar debidamente documentado y tener registros que permitan demostrar la eficacia de este. 

5. Funcionamiento

La cláusula ocho indica como tal cómo es el funcionamiento que debe tener el Sistema de Gestión de Seguridad de la Información.

Aquí, por ejemplo, se debe planificar, ejecutar y controlar los procesos necesarios para cumplir con los requisitos de seguridad de la información, y aplicar las medidas adecuadas para hacer frente a los riesgos y oportunidades.  

En este punto entonces, después de identificar los activos de información de la organización y los riesgos y amenazas a los que estos están expuestos, se debe realizar la evaluación de esos riesgos y cuál va a ser el tratamiento que se les va a dar, teniendo en cuenta el apetito y tolerancia al riesgo de la organización.

6. Monitoreo y revisión del SGSI

La cláusula nueve de la norma establece que para un correcto funcionamiento del SGSI es importante realizar un monitoreo constante de este, para hacerlo se deben tener en cuenta los siguientes pasos:

  1. Seguimiento y revisión de los procedimientos, documentación y prevención de incidentes de seguridad de la información.
  2. Revisión periódica de la eficacia del SGSI teniendo en cuenta las opiniones y evaluaciones de las partes interesadas.
  3. Medición de la eficacia de los procedimientos y controles implementados.
  4. Revisión de las evaluaciones de los riesgos y tratamiento de estos.
  5. Realización de auditorías internas.
  6. Revisión por parte de la dirección y actualización de los planes de seguridad. 

Cada una de estas acciones debe ser documentada y registrada correctamente. 

7. Mejora continua del SGSI

Es la cláusula diez de la norma y habla de que la organización debe mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

En este sentido, por ejemplo, en caso de presentarse no conformidades, la organización debe: 

  • Evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidades para que no se repita o se produzca en otros lugares.
  • Aplicar las medidas necesarias.
  • Revisar la eficacia de las medidas correctivas adoptadas.
  • Realizar cambios en el SGSI.

Cada uno de los anteriores elementos, las cláusulas cuatro a la diez de la norma ISO 27001, son fundamentales para la implementación de un Sistema de Gestión de Seguridad de la Información que permita a la organización gestionar correctamente los activos de información y los riesgos para proteger su confidencialidad, integridad y disponibilidad en todo momento, previniendo de esta forma sufrir un ataque por parte de los ciberdelincuentes.

Tecnología para la gestión de riesgos de seguridad de la información

Para facilitar a las organizaciones la adecuada implementación de un SGSI, siguiendo los lineamientos de la norma ISO 27001, norma que es certificable, una buena recomendación es apoyarse en una herramienta tecnológica como Pirani y su Sistema de Gestión de Seguridad de la Información, ISMS, que permite administrar fácilmente los activos de información y los riesgos y amenazas de estos. 

Nueva llamada a la acción

Con ISMS de Pirani, las organizaciones pueden:

  1. Crear procesos.

  2. Identificar y gestionar los activos de información de la organización, cada uno de estos puede ser asociado a un proceso, a una amenaza o vulnerabilidad. Al crear cada activo de información, es importante establecer qué tipo de activo es (hardware, software, servicios, personas…) y definir cuál es el nivel de criticidad para cada uno de los atributos de la información (confidencialidad, integridad y disponibilidad).

  3. Identificar y gestionar los riesgos de seguridad de la información a los que están expuestos los activos. Al crear cada uno de estos riesgos se debe calificar tanto la probabilidad de ocurrencia como el impacto que tendría en los activos en caso de materializarse.

  4. Establecer y crear los controles para la mitigación de los riesgos de seguridad de la información identificados. Cada control debe ser calificado en su diseño y ejecución para conocer qué tan sólido y efectivo es, además, puede ser asociado a un riesgo específico, a un activo y a una área o persona responsable de su gestión. 

  5. Reportar y gestionar los incidentes de seguridad de la información que se presenten en la organización, es decir, aquellos eventos no deseados o inesperados que puedan comprometer la seguridad informática y afectar las operaciones del negocio.

  6. Crear planes de acción para los riesgos de seguridad de la información identificados. Cada plan debe tener nombre, descripción, fecha de inicio, fecha de finalización, responsable y especificar las actividades que hacen parte de ese plan. 

¿Qué esperas para gestionar más fácilmente la seguridad de la información de tu organización con nuestro Sistema de Gestión de Seguridad de la Información - ISMS?

Empezar ahora

Buenas prácticas de seguridad de la información y ciber resiliencia

Adicional a establecer e implementar un adecuado y eficiente Sistema de Gestión de Seguridad de la Información que permita la protección de los activos informáticos contra ataques y sustracciones de la información no permitidas, es importante tener en cuenta algunas recomendaciones y buenas prácticas que ayudarán a la prevención de ciberataques.

  1. Contar con un plan consistente de actualización de los sistemas informáticos y aplicaciones utilizadas en la organización.
  2. Monitorear frecuentemente los activos de información, actualizar el inventario si es necesario y estar al tanto de los riesgos que se pueden materializar.

  3. Revisar de manera periódica los controles de seguridad implementados, verificar que estén siendo efectivos y si no lo son, ajustarlos o cambiarlos.

  4. Tener una política de contraseñas seguras, de manejo adecuado de los equipos y de la información, además, realizar backups y copias de seguridad de la información con regularidad.

  5. Concientizar y capacitar frecuentemente a todos los empleados de la organización en buenas prácticas sobre el uso correcto de la información, además, en cómo deben informar oportunamente sobre acciones y comportamientos fuera de lo común que puedan poner en riesgo la seguridad de la información.

  6. Hacer pruebas de hacking ético en los sistemas, redes y aplicaciones para detectar posibles vulnerabilidades y corregirlas a tiempo. 

Y si bien es fundamental la implementación de medidas para prevenir la materialización de ciberataques, actualmente también es importante que las organizaciones sean ciber resilientes, es decir, que estén en la capacidad de responder de manera rápida y efectiva cuando por alguna razón sean víctimas de un ataque de estos, evitando así que los impactos generados sean muy graves. 

El objetivo entonces de la ciber resiliencia, también conocida como resiliencia cibernética, es disminuir los impactos y consecuencias negativas de un ciberataque gracias a una identificación y detección oportuna de este y así, poder continuar en el menor tiempo posible con las operaciones y prestación de los servicios de la organización.

Ser una organización resiliente es ser consciente de que aunque se cuenten con todas las medidas preventivas y un SGSI sólido, en cualquier momento se puede sufrir un ataque cibernético porque hoy ninguna empresa está exenta de ser víctima de los ciberdelincuentes, por eso, está preparada para vivir una situación de este tipo y responder de la mejor manera posible. 

Adicionalmente, una organización resiliente:

  • Fortalece en todo momento sus prácticas de seguridad de la información y ciberseguridad.
  • Cuenta con políticas claras y un plan de acción para actuar frente a una posible pérdida o secuestro de datos: qué hacer, quién es el responsable, etc. 
  • Tiene un equipo de trabajo capacitado y comprometido que sabe qué debe hacer cuando se materialice un ataque cibernético.
  • Sabe responder y adaptarse rápidamente a la situación.
  • Tiene una gran ventaja competitiva porque sabe cómo reponerse y mitigar los impactos que un ataque puede significar para su economía, reputación y continuidad.

¿Qué tan ciber resiliente es tu organización?, ¿está preparada para responder ante un posible ciberataque? 

Conclusiones

  1. Sin importar el sector o tamaño, cualquier organización privada o pública puede ser víctima de la acción de los cibercriminales, por eso, es fundamental entender la importancia de la seguridad de la información y la ciberseguridad e implementarla adecuadamente.

  2. El ransomware es el principal ataque cibernético que se materializa en Latinoamérica. Las campañas de ransomware más activas durante el primer semestre de 2022, según Fortinet, fueron Revil, LockBit, Hive y Conti. 

  3. La implementación de un Sistema de Gestión de Seguridad de la Información, un SGSI, basado en los lineamientos de la norma ISO 27001, norma que es certificable, tiene como objetivo principal garantizar la confidencialidad, integridad y disponibilidad de los activos de información de la organización, para esto, como punto clave, es necesario contar con un verdadero compromiso de la alta dirección.

  4. Para una adecuado funcionamiento del SGSI de la organización es importante hacer seguimiento y monitoreo periódico a todos sus elementos (políticas, activos de información, riesgos, controles, etc.) con el fin de garantizar la mejora continua. 

  5. Ser una organización ciber resiliente significa estar preparado para vivir una situación desfavorable como un ataque cibernético, saber cómo actuar rápidamente para hacerle frente y lograr mitigar los impactos producidos por este. 

  6. Usar herramientas tecnológicas como Pirani y su Sistema de Gestión de Seguridad de la Información - ISMS ayuda a las organizaciones a gestionar más fácilmente sus activos de información y los riesgos a los que están expuestos.

Empezar ahora

Referencia bibliográfica

  1. El Economista: México reprueba en ciberseguridad, según reporte de IQSec
  2. ComputerWeekly.es: 85 mil millones de intentos de ciberataques en México en la primera mitad del año
  3. IMB: ¿Qué es un ataque cibernético?
  4. Blog Pirani: Ataques cibernéticos: causas, tipos y consecuencias
  5. Curso virtual: Riesgos de Seguridad de la Información y Ciberseguridad
  6. Blog Pirani: Vulnerabilidades que afectan la seguridad de la información
  7. Blog Pirani: Ciber resiliencia: qué es y por qué es importante
seguridad-informacion-mexico

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

Empezar prueba gratis