orm_icon

 

Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

Gestión
de seguridad de la información


Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

Cumplimiento
normativo


Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

Gestión de riesgos de lavado de activos

Identifica, establece controles y monitorea fácilmente los riesgos LAFT→
icono_auditoria

 

Auditoría

Mejora tus procesos de auditoría, apoya el cumplimiento normativo y genera valor a tu organización a través de la mejora continua →
como-hacer-un-flujo-de-gestión-de-eventos-Natalia

Próxima clase: Cómo hacer un flujo de gestión de eventos Jueves 04 de abril, 10:00 a.m. GMT-5.

header_academy_v2
Descarga gratis este contenido

Todo lo que debes saber sobre ciberseguridad 

Portada-Abece-de-ciberseguridad

Introducción

En Latinoamérica, tres de cada cinco empresas sufren por lo menos un incidente de seguridad en la red, y una de cada cinco es víctima de secuestro de información. Así lo reveló el estudio ESET Security Report 2018, que se realizó con 4.500 ejecutivos, técnicos y gerentes de 2.500 empresas de 15 países de la región.

El estudio mostró que los países más afectados son Perú con el 25 por ciento, México con el 20 por ciento, seguido de Argentina con el 15 por ciento, Brasil con el 14 por ciento y Colombia con el 10 por ciento.

Además, evidenció la amplia variedad de técnicas que pueden emplearse para robar información valiosa de las compañías, desde ataques externos hasta fraudes financieros, que incluyen alteración de datos y el pago de sobornos al cibercrimen.

En la era digital, la información es un factor muy importante para las compañías, por ello, es necesario realizar un análisis de riesgo de la seguridad informática para determinar el nivel y el impacto, conocer las debilidades y fortalezas de la compañía, tener más control, hacer monitoreo y establecer estrategias para protegerse de los ciberataques.

En este informe especial que preparamos podrás conocer todo lo que debes tener en cuenta para prevenir el cibercrimen en tu organización.

¿Qué es la ciberseguridad y para qué sirve? 

Cuando se habla de ciberseguridad, generalmente se asocia a las ciberamenazas y al cibercrimen, sin embargo, esta también tiene que ver con las buenas prácticas a implementar para proteger la información y prevenir o detectar los ataques cibernéticos a los que está expuesta cualquier organización o persona.

Las amenazas a la seguridad informática llegan a través de programas dañinos o maliciosos que se instalan en un dispositivo o acceden por medio de la nube.

Information Systems Audit and Control Association (Isaca), asociación internacional referente en la materia, define la ciberseguridad como "una capa de protección para los archivos de información. A partir de ella, se trabaja para evitar todo tipo de amenazas, las cuales ponen en riesgo la información que es procesada, transportada y almacenada en cualquier dispositivo”. 

h_cibernetico_5

Instalar programas antivirus y sistemas de detección de intrusos, conocidos como anti-spyware, que puede detectar de manera temprana los programas espías o presencia de programas maliciosos, son algunas de las buenas prácticas para proteger la seguridad informática.  

La seguridad de la información no solo se refiere a la tecnología para prevenir ataques sino también a desarrollar estrategias de capacitación a empleados y usuarios para evitar estos ataques.

Y cada vez es más importante hacerlo, porque de acuerdo con el informe The Global Risks Report 2018, del Foro Económico Mundial, los ataques cibernéticos y el robo de datos hacen parte de la lista de los riesgos más altos del mundo. La economía, la geopolítica y el medioambiente también están en la lista.

No es una sorpresa que así sea, pues los ataques informáticos cada vez son más comunes y menos extraordinarios, además, como explica el informe del Foro Económico Mundial, el impacto financiero que tienen es mayor, afectando no solo a las personas, sino principalmente a entidades financieras en todo el mundo. 

El ransomware, un software malicioso que pone en riesgo todos los datos y arrebata el control de la información almacenada, es uno de los peores ataques informáticos, en 2018, por ejemplo, representó el 64 por ciento de todos los correos electrónicos maliciosos. Este programa dañino que secuestra los datos, puede implicar una pérdida masiva de estos, ya que los delincuentes retienen la información con la intención de extorsionar a las empresas.

Dos ataques de ransomware en 2017 fueron WannaCry, que afectó a 300.000 computadoras en 150 países, y NotPetya, que causó pérdidas trimestrales de 300 millones de dólares para las empresas afectadas. Otra tendencia fue el uso de ataques cibernéticos para perjudicar infraestructuras críticas y sectores industriales estratégicos.

¿Cuáles son los ciberataques más comunes? 

h_cibernetico_2

Los ataques cibernéticos se basan principalmente en el secuestro de datos. Hospitales, pequeñas y medianas empresas han sido las principales víctimas los últimos años. Sin embargo, ni las grandes compañías se salvan del cibercrimen.

Telefónica, el gigante de telecomunicaciones español, fue víctima en 2017 de ataques en su red corporativa, lo que que obligó a sus empleados a apagar todos los computadores de su sede central en Madrid. Se trató de un ataque masivo de ransmware no solo contra Telefónica sino también contra varias organizaciones.

Estos son los tres ciberataques o ciberamenazas más comunes que debes conocer para prevenir que tu empresa sea víctima de uno de estos:

1. El ransomware

El ransomware, también llamado como malware de rescate, se caracteriza por restringir el acceso a un sistema informático y pedir un rescate para eliminar el bloqueo. Este tipo de ciberataque puede ser fatal para una compañía porque implica una pérdida masiva de datos, además de perjuicios económicos.

WannaCry y Petya, dos tipos de ransomware, operan de la misma forma: durante el ataque los datos del ordenador infectado se bloquean, ya sean documentos, fotos o videos, y para desencriptarlos normalmente el programa exige el pago de una suma de dinero, la mayoría de veces bitcoins. Si no se paga a tiempo, los datos son eliminados o bloqueados de forma permanente.

2. Ataque de denegación de servicio o DDoS

Con la transformación digital de los servicios bancarios, los riesgos financieros cambiaron y los fraudes o las fallas en las operaciones se incrementaron, así como el cibercrimen. Entre los ataques más comunes y peligrosos está el DDoS o de denegación del servicio, que consiste en provocar la caída de un servidor sobrecargando su ancho de banda. Estas acciones fuerzan la interrupción de un sitio web.

En el caso del sistema financiero, los DDoS se utilizan para inundar con una gran cantidad de tráfico los servicios en línea de los bancos y de las plataformas de trading. De esa manera el servidor colapsa y deja de funcionar.

3. Troyanos bancarios

Los delincuentes cibernéticos han perseguido la telefonía móvil desde mucho antes que se incrementara el uso de smartphones para realizar transacciones bancarias, ahora cada vez más están tras estos dispositivos para hacer sus fechorías. Precisamente, la mayor amenaza para los dispositivos móviles son los troyanos bancarios, otro software malicioso que en principio parece inofensivo, pero es muy peligroso y está tras los bancos.

Los troyanos pueden instalarse en cualquier dispositivo por visitar un sitio web infectado, por descargar el anexo de un mail, o incluso, por bajar una aplicación. Una vez este virus se instale en el celular, detecta en qué momento se utilizan los servicios en línea de un banco y así capturar los datos personales y bancarios.

Nueva llamada a la acción

¿Cómo prevenir ataques informáticos? 

Los cibercriminales operan de forma encubierta y, por lo general, son difíciles de detectar,  por eso puede pasar mucho tiempo antes de que los problemas sean visibles para la organización. Para la prevención y detección temprana ten en cuenta los siguientes consejos y buenas prácticas:

h_cibernetico_3

1. Evita amenazas a través de emails 

Los correos electrónicos son uno de los puntos más débiles de una compañía, pues a través de estos se pueden introducir de forma fácil amenazas de virus y robo de información. Sin embargo, muchas empresas creen que no son tan peligrosos e ignoran la actividad de los correos internos y pueden ser víctimas de secuestro de datos.

Por eso, te recomendamos monitorear periódicamente la actividad de mensajes sospechosos, así como las descargas de archivos anexos y educar al personal de tu empresa sobre el buen uso de este medio para que sea empleado con fines laborales y para que alerte a la compañía en caso de ver un correo sospechoso.

2. Detecta a tiempo códigos maliciosos

Es común que estos códigos se escondan en archivos PDF, Html, GIF y Zip. Una buena práctica que no debes dejar de lado, es escoger un antivirus que pueda descubrir, decodificar y descifrar estos códigos ocultos y así evitar ser víctima de robo de información.

3. Reconoce las conexiones sospechosas 

Frecuentemente, los cibercriminales usan direcciones IP, sitios web, archivos y servidores de correo electrónico con un histórico de actividad maliciosa, por eso, la recomendación es que utilices herramientas capaces de examinar la reputación de fuentes no confiables ubicadas fuera de tu organización.

4. Monitorea las bases de datos 

La modificación de la estructura en el banco de datos e intentos no autorizados de acceso a datos críticos pueden ser una señal de alerta que indica que la red estaría amenazada, para prevenir esto, usa herramientas que te ayuden a monitorear bases de datos y a registrar intentos de acceso no autorizado.

5. Mantén tus sistemas actualizados 

La mejor manera de  garantizar que los equipos de la empresa tengan buen funcionamiento, es haciendo un inventario de todo el hardware disponible. Después, elige un plan para gerenciar tus equipos de la manera más efectiva.

Existen dos maneras de hacerlo: entrenar a tus empleados para que realicen las actualizaciones periódicamente o automatizar el proceso a través de una herramienta que actualice automáticamente el sistema. Esta última opción permitirá que se descarguen las actualizaciones de una sola vez y luego se van distribuyendo dentro de la empresa.

Detección y prevención de ataques de fraudes con tecnología 

Los delincuentes no se detienen y todos los días están creando nuevas formas de hacer fraudes a través de internet, por ello, las organizaciones deben contar con sistemas apropiados que revelen oportunamente las actividades sospechosas.

Una estrategia de detección se compone de herramientas analíticas y de mecanismos que ayuden a reportar y escalar los eventos anormales. Precisamente, los reportes de excepciones, la minería de datos, el análisis de tendencias y la evaluación de riesgos en tiempo real son elementos claves de un sistema de detección.

Es importante incluir en la gestión de riesgos de seguridad de la información tanto los planes de prevención como los de detección. El fraude no solo es una posibilidad, sino una realidad, sin una estrategia efectiva, la amenaza es mayor.

Falta de programas maduros y experiencia técnica 

Para el Instituto Nacional de Patrones y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology), no necesariamente todas las empresas con una infraestructura crítica cuentan con un programa maduro ni con la experiencia técnica suficiente para detectar, evaluar y evitar ataques cibernéticos.

Por ello, en febrero de 2013 emitió la Orden Ejecutiva 13636, que establece que el Marco de Seguridad Cibernética "identificará áreas de mejora que deberían abordarse mediante colaboración futura con sectores particulares y organizaciones de desarrollo de estándares".

Para NIST —que integra el Departamento de Comercio de los Estados Unidos— si bien existen herramientas, metodologías y estándares para reducir el riesgo, estos necesitan ser más maduros.  Por ello, se enfoca en apoyar el desarrollo de mejores soluciones de identidad y autenticación a través de los pilotos NSTIC y en realizar investigaciones sobre esto. 

El análisis realizado por el Instituto muestra que en el mundo se necesita una fuerza laboral especializada en seguridad informática para satisfacer las necesidades únicas de la infraestructura crítica. “Existe una escasez bien documentada de expertos generales en ciberseguridad; sin embargo, hay una mayor escasez de expertos calificados en ciberseguridad que también comprenden los desafíos únicos que se plantean a partes específicas de la infraestructura crítica.”

Igualmente, señala que a medida que evoluciona la amenaza de ciberseguridad y el entorno tecnológico, la fuerza de trabajo debe seguir adaptándose para diseñar, desarrollar, implementar, mantener y mejorar continuamente las prácticas de ciberseguridad necesarias en entornos de infraestructura críticos.

Automatización de los indicadores de información 

En la hoja de ruta que propone el Instituto Nacional de Patrones y Tecnología, NITS, las organizaciones deben incluir el "intercambio automático de datos de indicadores porque puede proporcionar información oportuna y procesable para detectar y responder a eventos de ciberseguridad a medida que ocurren”.

Esto ayuda a mitigar y a prevenir ataques a medida que ocurren. “Recibir dichos indicadores permite a las tecnologías de automatización de seguridad una mejor oportunidad para detectar ataques pasados, mitigar y remediar vulnerabilidades conocidas, identificar sistemas comprometidos y apoyar la detección y mitigación de futuros ataques”.

Así mismo, el Instituto dice en su hoja de ruta que los grandes datos y las herramientas analíticas asociadas, junto con el surgimiento de la computación en la nube, móvil y social, ofrecen oportunidades para procesar y analizar datos estructurados y no estructurados relevantes para la ciberseguridad.

Se pueden abordar cuestiones como la conciencia situacional de redes complejas e infraestructuras a gran escala. “El análisis de comportamientos complejos en estos sistemas a gran escala también puede abordar cuestiones de procedencia, atribución y discernimiento de patrones de ataque”.

Las actividades futuras de NIST pueden incluir: 

  • Evaluación comparativa y medición de algunos de los elementos científicos fundamentales de big data (algoritmos, aprendizaje automático, topología, teoría de grafos, etc.) a través de medios como investigación, evaluaciones comunitarias, conjuntos de datos y problemas de desafío.
  • Soporte y participación en actividades de big data como organismos de estándares internacionales y producción de arquitecturas de referencia y roadmaps comunitarios.
  • Producción de Publicaciones Especiales del NIST sobre la aplicación segura de técnicas de análisis de big data en áreas como control de acceso, monitoreo continuo, advertencia e indicadores de ataque y automatización de seguridad.

Ten presente que los sistemas automáticos son buenas herramientas para defenderse de los ciberataques y que, sin importar su tamaño o sector, las compañías no deben ignorar esta realidad, por el contrario, deben esforzarse en incluir estrategias e implementar un sistema de seguridad de la información para minimizar los riesgos asociados a esta.

Por último, también es necesario contar con una herramienta tecnológica como Pirani que con su módulo de seguridad de la información te permite gestionar de una manera diferente y simple los riesgos asociados a la seguridad de la información de los activos de tu organización. Con este módulo podrás identificar, evaluar, controlar y monitorear este tipo de riesgos para asegurar la confidencialidad, integridad y disponibilidad de la información en las organizaciones.

Nueva llamada a la acción

¿Qué tal te pareció esta información sobre seguridad de la información? Déjanos tus comentarios y cuéntanos qué otros temas relacionados te gustaría aprender o profundizar.

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

Empezar prueba gratis