6 minutos de lectura 7 feb 2020
bomberos en un avión

Cómo gestionar el riesgo cibernético con un enfoque de Security by Design

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.

6 minutos de lectura 7 feb 2020

Security by Design es un nuevo enfoque de la seguridad cibernética que incorpora el pensamiento de riesgo desde el principio, permitiendo la innovación global con confianza.

La mayoría de las organizaciones actuales saben que deben adoptar nuevas tecnologías e innovar continuamente para seguir siendo competitivas y relevantes. Sin embargo, en la prisa por modernizar sus sistemas y operaciones, introducen múltiples vulnerabilidades en sus negocios y se exponen a un número creciente de riesgos.

Mientras tanto, siempre hay más potenciales atacantes que están listos para explotar estos puntos débiles, con acceso virtualmente ilimitado a una gran cantidad de software y servicios a solo un clic de distancia. Estos actores de la amenaza ya no se centran únicamente en el robo de datos con vistas a la monetización, como solían hacer antes. Ha habido un enorme aumento de los ataques por motivos políticos, a menudo incluso a nivel estatal. También hemos sido testigos del aumento del "hacktivismo" y el ciberterrorismo como importantes amenazas a la seguridad cibernética en todo el mundo. Cualquiera que tenga un rencor, un punto que señalar o simplemente un deseo de causar daño puede hacerlo fácilmente.

Los bomberos se preparan
(Chapter breaker)
1

Capítulo 1

A medida que los niveles de amenaza aumentan, están en juego vínculos de confianza cruciales

Las consecuencias para las organizaciones e instituciones pueden ser catastróficas e incluso amenazar su propia supervivencia.

El resultado más evidente de los ciberataques es la pérdida financiera, ya sea por fraude, por verse obligado a pagar rescates, por estar sujeto a multas o por la pérdida de ingresos y costos de oportunidad. Se estima que las empresas estadounidenses perdieron 654 billones de dólares en ataques cibernéticos solo en el último año. Este año ya está previsto que sea peor.

Sin embargo, las organizaciones no son las únicas que están a merced de los ciberdelincuentes. Una parte cada vez mayor de las infraestructuras gestionadas por el gobierno en los estados modernos se gestiona ahora en línea, profundamente interconectada y cargada con las mismas vulnerabilidades que las empresas. Los ataques a esos sistemas tienen el poder de disrumpir regiones y países enteros, causar un caos incalculable y pueden incluso provocar daños físicos reales a las personas. En 2016, los hackers pudieron cerrar la red eléctrica de toda una región de Ucrania, dejando a 230.000 personas sin electricidad durante horas.

El delito cibernético y la piratería informática pueden tener un impacto material a escala social, en particular mediante la difusión voluntaria de desinformación. La difusión de noticias falsas durante acontecimientos políticos cruciales de la historia reciente ha demostrado que, incluso a través de canales y contenidos poco fiables y a menudo mal construidos, la difusión de información falsa puede tener graves consecuencias. Estos efectos pueden extenderse aún más cuando la desinformación se difunde a través de canales legítimos. Cuando en 2013 la cuenta de Twitter de Associated Press fue hackeada para publicar un titular de última hora sobre un atentado con bomba en la Casa Blanca en el que resultó herido el Presidente Barack Obama, el Dow Jones perdió casi instantáneamente 136 billones de dólares de valor en el mercado de valores.

En última instancia, el efecto más perjudicial y duradero de estos incidentes, en particular cuando no se tratan y mitigan rápidamente, es la pérdida de confianza entre las personas y las organizaciones o instituciones de las que dependen. Los stakeholders, los empleados, los terceros y los consumidores por un lado, los contribuyentes y los votantes por el otro; todos esperan un rendimiento coherente y fiable, así como la tranquilidad de su propia seguridad, tanto en línea como fuera de línea. Cuando la confidencialidad, integridad o disponibilidad de los datos se ven comprometidas, o los productos y servicios dejan de funcionar como se esperaba, la confianza construida a lo largo de los años puede perderse en un día.

Bomberos trabajando en la costa
(Chapter breaker)
2

Capítulo 2

La ciberseguridad: un mercado complejo, impulsado por la crisis

Las organizaciones se esfuerzan por mantener una función de seguridad clara, cohesiva y eficiente.

Demasiadas organizaciones adoptan hoy en día un enfoque meramente reactivo de la seguridad cibernética, adoptando medidas sólo después de que se haya producido un ataque, se haya encontrado una falta, se hayan impuesto multas o se haya aprobado una legislación. Los primeros resultados de la encuesta sobre Seguridad de la Información Global 2020 de EY, de casi 1.300 líderes en seguridad cibernética, revela que el 65% de las empresas sólo consideran la seguridad cibernética cuando ya es demasiado tarde. Existe una clara tendencia a adaptar las herramientas de seguridad en torno a los sistemas existentes, simplemente marcando los elementos en las listas de control de cumplimiento, en lugar de incorporar la seguridad en los nuevos productos y servicios basándose en cálculos de riesgo empresarial previos.

Encuesta sobre Seguridad de la Información Global 2020 de EY

65%

de las empresas solo consideran la seguridad cibernética cuando ya es demasiado tarde — revelan 1.300 líderes de la seguridad cibernética.

Esta mentalidad de lista de control no sólo es ineficiente sino que también está en la raíz de varios problemas que obstaculizan el papel y la eficacia de la seguridad cibernética. En primer lugar, está el hecho de que los Directores de la Seguridad de la Información (CISO, por sus siglas en inglés) y los equipos de seguridad se perciben como obstáculos en las empresas que deben innovar rápidamente para sobrevivir. En segundo lugar, esta mentalidad ha dado lugar a un mercado de seguridad extremadamente fragmentado y complejo, formado por miles de vendedores que compiten por el gasto en seguridad. Este contexto puede hacer increíblemente difícil que las organizaciones mantengan una función de seguridad clara, cohesiva y eficiente.

A medida que las juntas directivas y los líderes ejecutivos empiezan a comprender la importancia de la función de seguridad, empiezan a ver la clara necesidad de un nuevo enfoque que les permita buscar la innovación con confianza y al mismo tiempo reducir al mínimo y gestionar los numerosos riesgos que plantea la delincuencia cibernética.

Caminante con arnés listo para saltar
(Chapter breaker)
3

Capítulo 3

Security by Design: defender la confianza en la Era de la Transformación

La seguridad como un pensamiento tardío ya no es suficiente para proteger eficientemente las operaciones y mantener la confianza en todos los niveles de una organización.

Los equipos de seguridad cibernética de EY creen que ha llegado el momento de adoptar una nueva perspectiva en materia de seguridad cibernética: un enfoque proactivo, pragmático y estratégico que tenga en cuenta el riesgo y la seguridad desde el inicio de cualquier nueva iniciativa y que fomente la confianza en cada etapa. Esto es Security by Design.

En lugar de evitar el riesgo por completo, Security by Design consiste en permitir la confianza en los sistemas, diseños y datos para que las organizaciones puedan asumir más riesgos, liderar el cambio transformador e innovar con confianza.

En el campo en constante crecimiento de la Inteligencia Artificial (IA), por ejemplo, la necesidad de tal enfoque es cada vez más clara. Las dos formas más comunes de Aprendizaje Automático (ML, por sus siglas en inglés) que conforman este campo – sin supervisión y supervisado – son objetivos principales de la subversión. Los resultados producidos por estos métodos dependen naturalmente de los algoritmos que les dan vida. Sin embargo, incluso los algoritmos más avanzados conducirán a resultados corruptos si los datos que los alimentan son manipulados.

Hoy en día no se presta suficiente atención a la protección de la integridad de los datos que alimentan los sistemas de ML en el corazón de los productos y servicios cada vez más comunes. Los ciberdelincuentes lo saben y, en principio, podrían atacar los sistemas añadiendo, eliminando o cambiando los conjuntos de datos subyacentes. La mayoría de los sistemas digitales que existen hoy en día ya corren el riesgo de ser manipulados.

Sin embargo, a medida que la IA amplía el alcance de las decisiones automatizadas, también se amplían las oportunidades de hacer travesuras. Tomemos, por ejemplo, los sistemas de tráfico aéreo programados para ajustar automáticamente la velocidad o la altitud de las aeronaves en función de datos potencialmente adulterados – o el software de ML diseñado para detectar problemas médicos, donde los datos corruptos llevan a los algoritmos a ignorar los signos de cáncer. Esos resultados tan profundamente indeseables sólo pueden evitarse mediante la aplicación de protocolos adecuados de gestión de datos, identidad y acceso en el núcleo de los sistemas de inteligencia artificial.

La creciente capacidad de estar presente de los dispositivos de Internet de las Cosas (IoT) proporciona otro caso convincente para un enfoque de Security by Design. Los consumidores confían cada vez más en los productos de IoT, que permiten entrar en sus hogares y a los que confían información personal y a menudo muy sensible. Sin embargo, hay poco que justifique tal confianza en la forma en que estos dispositivos se fabrican típicamente.

Los dispositivos de IoT implican tres pasos separados en su ensamblaje. Este proceso comienza con chips de computadora especializados, construidos con la menor ingeniería o gastos generales posibles para no impactar en los ya muy estrechos márgenes. Estos chips se pasan a los fabricantes de dispositivos originales (ODM, por sus siglas en inglés), contratados para construir sobre las especificaciones, hechos con una combinación de software de código abierto y propietario. Una vez más, el objetivo aquí es maximizar los márgenes, con poca consideración por la seguridad o el rendimiento más allá de las funciones requeridas. Por último, la empresa de marca orientada al consumidor carga su propia interfaz y ajusta los dispositivos lo suficiente para garantizar su funcionamiento. En cada etapa, la atención se centra en maximizar los beneficios en lugar de garantizar la seguridad o la integridad.

Este enfoque de corto plazo y de primacía de las ganancias es una receta segura para el desastre. En 2015, una importante marca de automóviles se vio obligada a retirar del mercado 1.4 millones de vehículos después de que los expertos en seguridad piratearan el sistema de infoentretenimiento de su automóvil y demostraran que casi cualquiera podía acceder y controlar las funciones clave, incluidas las de frenado y dirección. A medida que los fabricantes de automóviles y los gobiernos de todo el mundo lideran un impulso concertado hacia los coches inteligentes y las ciudades reforzadas por las tecnologías de IoT, la necesidad de una mayor seguridad es evidente.

¿Qué tienen en común estos ejemplos? Ya no son simplemente innovaciones de nicho. Son los sistemas globales en red del mañana que se interconectarán y formarán cada vez más la base de todo lo que hacemos día a día. Es sumamente urgente que las organizaciones e instituciones que desarrollan y utilizan estas tecnologías adopten una perspectiva de Security by Design. Los que no lo hacen corren una gran cantidad de riesgos, desde la ruina financiera hasta el caos estructural, culminando en el, a menudo irreparable, colapso de la confianza. Un enfoque proactivo, pragmático y estratégico que considere el riesgo desde el principio – y no como una idea posterior – puede marcar la diferencia entre los que fracasan y los que prosperan en la Era de la Transformación.

Resumen

En este artículo se evalúa el actual panorama de la ciberseguridad y se trata de inspirar a las organizaciones para que adopten un nuevo enfoque de la gestión de la seguridad en la Era Transformativa. Hoy en día, las organizaciones deben innovar para sobrevivir, pero al hacerlo se enfrentan a amenazas cada vez mayores de ciberataques. A la luz de las consecuencias potencialmente desastrosas, las organizaciones necesitan una nueva perspectiva que considere estos riesgos desde el mismo inicio de cualquier producto o servicio, en lugar de hacerlo como algo posterior.

Acerca de este artículo

Por Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Gurú de la ciberseguridad. Casada y madre de cuatro. Disfruta del buceo, el senderismo y la restauración de muebles. Vive en McLean, Virginia.