The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Ciberseguridad: preparados para afrontar futuros ataques

Global Information Security Survey 2017-2018

La ciberseguridad debe ser una prioridad a todos los niveles de las empresas. Más aún teniendo en cuenta que en el actual entorno, complejo y cambiante, las ciberamenazas se mantienen ocultas a nuestros ojos.

Según se desprende de la vigésima edición del Global Information Security Survey de EY, la mayoría de las empresas considera que el riesgo de sufrir un ciberataque es hoy mayor que hace un año, ya que las técnicas de los ciberdelincuentes son más sofisticadas y las empresas están más hiperconectadas que nunca. Las oportunidades que ofrece la digitalización son muy grandes a lo largo de la cadena de valor, pero también lo son los riesgos.

No es posible repeler todas las amenazas, pero las empresas resilientes son aquellas que saben protegerse, detectan el problema y reaccionan de forma efectiva. Las estrategias activas de defensa y los mecanismos de inteligencia avanzada proporcionan una base para resistir a los nuevos ciberataques, mientras que conceptos como la seguridad desde el diseño (security by design) dan a las compañías opciones en la batalla por un mundo más seguro.  

Se estima un coste global en ciberseguridad de seis billones de dólares para 2021 (el doble del registrado en 2015), y el coste para las organizaciones es tanto económico como reputacional

Afrontar las ciberamenazas: inversiones como protección frente a cibertaques.

En la actualidad, prácticamente todas las empresas son digitales por defecto y, según los últimos estudios del Foro Económico Mundial, la brecha de la ciberseguridad supone uno de los cinco mayores riesgos que afronta el mundo.

Existen informes que estiman el coste global de la ciberseguridad en seis billones de dólares para 2021, el doble que el registrado en 2015, y el coste para las organizaciones es tanto económico como reputacional.

Nunca ha sido tan difícil para las compañías trazar un mapa del entorno digital en el que operan y sus interacciones con el mismo, producto del desarrollo tecnológico, la proliferación de dispositivos y la aparición del denominado Internet de las Cosas (IoT en sus siglas en inglés), por lo que tienen que acostumbrarse a desplegar sus tentáculos en todas las direcciones.

Por todo ello, la respuesta a las ciberamenazas debe ser más robusta y nuestro estudio revela que las empresas seguirán incrementando su inversión en ciberseguridad en los próximos años.

Inversiones como protección frente a cibertaques

59%

del los directivos afirman que aumentaron su presupuesto en los ultimos 12 meses.

87%

asegura que necesitan aumentar su presupuesto hasta un 50%.

12%

de los directivos preven aumentar su presupuesto de ciberseguridad más del 25%.

Las empresas que comprenden el panorama de ciberamenazas al que se enfrentan y que cuentan con defensas fuertes tendrán más posibilidades de repeler los ataques e identificar a los ciberdelincuentes.

Escenario de riesgos

Las empresas deben asumir que lo peor puede suceder, y hay suficientes ejemplos de ciberataques a escala mundial (los virus Petya, Wannacry o Mirai, por ejemplo) como para evitar la complacencia.

Las amenazas y vulnerabilidades que más han aumentado entre 2013 y 2017, según la precepción de los directivos consultados

Entre las vulnerabilidades de ciberseguridad que más preocupan a los encuestados del estudio, destacan las que involucran a empleados desprevenidos o descuidados (60% de la muestra) y las que utilizan mecanismos obsoletos de control de seguridad de la información (46%).

EY - Las amenazas y vulnerabilidades que más han aumentado entre 2013 y 2017, según la precepción de los directivos consultados

Los ataques tipo malware y phishing son las dos principales amenazas identificadas por los encuestados, ambas seleccionadas por el 64%.

EY - Las amenazas y vulnerabilidades que más han aumentado entre 2013 y 2017, según la precepción de los directivos consultados

Protección frente a las amenazas

EY - Ataques comunes

Ataques comunes

Realizados por agresores poco sofisticados (empleados descontentos, competidores, hacktivistas, algunos grupos criminales…) que explotan vulnerabilidades conocidas y que se basan en herramientas de hacking habituales.

Defensa

Las empresas deben cerrar la puerta a los tipos de ciberataques más comunes, utilizando las herramientas conocidas (software antivirus, sistemas de detección y prevención de intrusiones, cifrado de datos, etc.) para frenar el porcentaje más alto de los ataques.

Además, los empleados deben tomar conciencia de la importancia de su contribución en avanzar en la ciberseguridad, con actuaciones básicas como la gestión de sus contraseñas.

El estudio de EY detecta tres áreas muy relevantes a vigilar si lo que se busca es detectar un ciberataque: privacidad, monitorización de la seguridad y gestión de la seguridad en terceros. Pero, la madurez de la aproximación es la que finalmente determina su efectividad y, en este sentido, el 75% de los encuestados califica como muy bajo o moderado el nivel de madurez de sus mecanismos de identificación de vulnerabilidades, mientras que el 12% de la muestra asegura no tener un programa de detección de incidentes de ciberseguridad

EY - Ataques avanzados

Ataques avanzados

Son realizados por hackers sofisticados (grupos criminales organizados, equipos de espionaje industrial, ciberterroristas y hasta naciones) que se dirigen hacia vulnerabilidades complejas y, en ocasiones, desconocidas (“zero day”) con herramientas avanzadas.

Defensa

  • La implantación de un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) que centralice todas las medidas de ciberseguridad. A pesar de su importancia, el 48% de los encuestados en el estudio no dispone de un SOC y sólo el 12% de la muestra afirma que es muy probable que su empresa detecte un ciberataque sofisticado.
  • La defensa activa representa un paso crucial para que las organizaciones contrarresten los ciberataques, y debe realizarse a través de al menos cuatro pasos:
    1. Priorizar las “joyas de la corona”: determinar los activos más valiosos para empresas y priorizar nuestras actuaciones en ellos
    2. Definir lo “normal”, para poder centrarnos en las anomalías.
    3. Inteligencia avanzada, ya sea interna como de proveedores externos. En esta línea, el 57% de las empresas encuestadas no cuenta con un programa de inteligencia para detectar amenazas.
    4. Entrenamiento de defensa activa: ejercicios con el objetivo de ejercitar escenarios de amenaza, poner a prueba nuestras defensas y valorar nuestra gestión de los incidentes.
EY - Ataques emergentes

Ataques emergentes

Se realizan también por hackers sofisticados (como sucede en el caso de los avanzados) y se dirigen hacia nuevas vulnerabilidades surgidas por la aplicación de las tecnologías emergentes tras un proceso de investigación específico.

Defensa

Las empresas no pueden anticipar todas las ciberamenzas, pero las organizaciones innovadoras deben trabajar en anticipar la naturaleza de las amenazas potenciales futuras y reaccionar rápidamente cuando aparezcan.

El estudio de EY revela que los presupuestos de ciberseguridad más elevados se dan en empresas que:

  • Tienen responsables de ciberseguridad en líneas clave de la organización.
  • Informan al menos dos veces al año de los asuntos de ciberseguridad tanto al Consejo de Administración como al Comité de Auditoría. No obstante, sólo el 50% de las encuestadas por EY informan al Consejo de forma regular.
  • Identifican activos relevantes fuera del entorno tecnológico y los protegen de forma diferenciada.

Las empresas deben actuar con calma, con un plan de respuesta probado con antelación y en el cual cada uno conoce sus responsabilidades.

Claves de una empresa en ciberseguridad

Las cinco claves de las empresas en ciberseguridad

  1. Centrarse en el talento
  2. Ser estratégico e innovador
  3. Enfocarse en los riesgos
  4. Operar de forma inteligente y ágil
  5. Ser resiliente y escalable
EY - Las cinco claves de las empresas en ciberseguridad

Gestión de crisis: plan de respuesta ante un incidente de seguridad

Las empresas deben contar con un Plan de Respuesta ante Brechas Cibernéticas (CBRP por sus siglas en inglés) que se active de forma automática cuando se detecta un incidente. En la práctica, el CBRP es un Plan de Gestión de Crisis, y es un mecanismo que contempla, al menos, seis aspectos clave:

  1. Ciberseguridad
  2. Planes de Continuidad de Negocio
  3. Compliance
  4. Seguros
  5. Relaciones Públicas y Comunicación
  6. Litigios

La realidad es que el 43% de las empresas sondeadas en el estudio de EY asegura no tener una estrategia de comunicación o un plan de reacción en el caso de que se produzca un ciberataque significativo, mientras que el 56% tardaría un mes en publicar un comunicado a los medios de comunicación tras sufrir un incidente que afecte a los datos de la empresa.

Contactos

EY - Elena Maestre

Elena Maestre
Spain Risk Advisory Leader, MED
+34 91 567 40 41

EY - Xavier Ferre

Xavier Ferre
Spain Risk Partner
+34 93 362 72 77

EY - Manuel Giralt

Manuel Giralt
Spain Risk Partner
+34 91 572 74 79

EY - Ramiro Mirones

Ramiro Mirones
Spain Risk Partner
+34 91 572 50 09

EY - Juan Luis Fernández

Juan Luis Fernández
Spain IT Risk Leader, Financial Services
+34 91 749 34 29

EY - Julio San José

Julio San José
Spain Cybersecurity Leader, Financial Services
+34 91 567 40 69