Cybersecurity and digital privacy

Cómo evitar que los ciberataques arruinen su balance

Astraed

8 min read

Se espera que la amenaza de los ciberataques (y el posible impacto en los balances de las empresas) no hagan más que crecer. Los avances tecnológicos en áreas como la IA generativa y la automatización han fortalecido a los actores de las amenazas y han provocado amenazas nuevas y en evolución. En este contexto, cada vez es más importante que los consejos de administración corporativos alineen la gestión del ciberriesgo de sus organizaciones con sus necesidades empresariales. Los ciberataques son, ante todo, un riesgo para la integridad de la empresa. Pueden dañar los componentes más fundamentales de una empresa, desde la integridad de los datos de los clientes hasta la infraestructura de TI, y al mismo tiempo afectar a la propiedad intelectual, la reputación, la valoración e incluso a la moral del personal de la empresa. ¿.

••• Como líder de una empresa de ciberseguridad, tengo experiencia de primera mano sobre el grado en que las empresas han sido blanco de ciberataques. Todos hemos visto titulares recurrentes sobre el ransomware, pero las empresas también se enfrentan a ataques de denegación de servicio distribuido (DDoS), infracciones de la cadena de suministro y ataques de suplantación de identidad, entre otros. Según un reciente[Informe Forrester](https://www.forrester.com/report/lessons-learned-from-the-worlds-biggest-data-breaches-and-privacy-abuses-2022/RES178936), el año pasado se expusieron mil millones de registros en las 35 principales infracciones; se robaron 2.600 millones de dólares en las nueve principales infracciones de criptomonedas; y se impusieron 2.700 millones de dólares en multas a los 35 principales infractores. Estos son solo algunos ejemplos: - Lapsus$ afirma haber robado 1 terabyte de datos cruciales de una empresa de chips semiconductores[Nvidia](https://www.cpomagazine.com/cyber-security/nvidia-data-leak-exposed-proprietary-information-but-wasnt-a-russian-ransomware-attack-company-says/). Exigieron un millón de dólares **rescate** e hizo demandas adicionales. - [Google](https://cloud.google.com/blog/products/identity-security/how-google-cloud-blocked-largest-layer-7-ddos-attack-at-46-million-rps) reprimió un **DDoS** ataque a un cliente de Google Cloud Armor, comparándolo con «recibir todas las solicitudes diarias a Wikipedia (uno de los sitios web con más tráfico) en solo 10 segundos». - Las acciones de la empresa se desplomaron cuando la empresa de autenticación[Okta](https://techcrunch.com/2022/03/23/okta-breach-sykes-sitel/) anunció que los registros de alrededor del 2,5% de su base de clientes estuvieron expuestos en un **ataque a la cadena de suministro.** - Se registró un nuevo máximo en **suplantación de identidad** , con más de 1 270 000 ataques registrados solo en el tercer trimestre de 2022, según el [Grupo de trabajo antisuplantación de identidad](https://docs.apwg.org/reports/apwg_trends_report_q3_2022.pdf). ## **El coste de una violación de datos** El coste medio de una violación de datos alcanzó los 4,35 millones de dólares en 2022, según la[Informe sobre el costo de una violación de datos de 2022](https://www.ibm.com/downloads/cas/3R8N1DZJ), lo que representa un aumento del 2,6% con respecto a 2021 y un 12,7% más que en 2020. En el caso del ransomware, los costes son diferentes: el pago medio en 2021 fue de aproximadamente 1,85 millones de dólares, más del doble de la cifra de 760 000 dólares de 2020, por[Informe de SpyCloud](https://f.hubspotusercontent20.net/hubfs/3791228/2021-Ransomware-Defense-Report_SpyCloud.pdf). Y estos son solo costes directos;[los costes indirectos son mayores](/2023/05/the-devastating-business-impacts-of-a-cyber-breach). Incluyen: - Pérdida de negocios debido a la interrupción de la actividad empresarial y a la pérdida de ingresos - La pérdida de clientes y el coste de adquirir otros nuevos - Pérdidas de reputación y disminución del fondo de comercio - Multas reglamentarias y procedimientos legales, cuando los ataques conducen a demandas colectivas ## **Las ciberamenazas aumentan** Las crecientes tensiones geopolíticas, particularmente en torno al conflicto entre Rusia y Ucrania y las relaciones entre Estados Unidos y China, crearon un efecto dominó en el que la ciberguerra patrocinada por el estado está afectando al sector privado. En resumen: las empresas suelen convertirse en daños colaterales. Se espera que la amenaza de los ciberataques (y el posible impacto en los balances de las empresas) no hagan más que crecer. Los avances tecnológicos en áreas como la IA generativa y la automatización han fortalecido a los actores de amenazas, lo que ha llevado a[amenazas nuevas y en evolución](/2023/04/cyber-risk-is-growing-heres-how-companies-can-keep-up). En este contexto, cada vez es más importante que los consejos de administración corporativos alineen la gestión del ciberriesgo de sus organizaciones con sus necesidades empresariales. ## **La ciberseguridad como riesgo empresarial clave** Los ciberataques son, ante todo, un riesgo para la integridad de la empresa. Pueden dañar los componentes más fundamentales de una empresa, desde la integridad de los datos de los clientes hasta la infraestructura de TI, y al mismo tiempo afectar a la propiedad intelectual, la reputación, la valoración e incluso a la moral del personal de la empresa. ¿Cómo deberían gestionar los consejos de administración y los altos directivos este tipo de riesgo empresarial? El conocimiento aporta poder y cuanto más sepan los líderes corporativos sobre el impacto del ciberriesgo en la empresa, mejor podrán ofrecer un liderazgo eficaz. ## **Los balances de ciberriesgo pueden ofrecer información** Según el informe del Foro Económico Mundial,[Principios para la gobernanza del ciberriesgo en los consejos de administración](https://www3.weforum.org/docs/WEF_Cyber_Risk_Corporate_Governance_2021.pdf), el 37% de las organizaciones están totalmente de acuerdo en que cuantificar el riesgo conduce a una mejor gestión de los ciberriesgos. Pero, ¿cuál es la mejor manera de cuantificar los riesgos? Un balance de ciberriesgos es una forma de mapear el posible impacto financiero de los cibereventos. Crear un balance implica: 1. **Estandarización:** Seleccionar un marco de cuantificación del ciberriesgo, por ejemplo, aprovechando[Análisis factorial del riesgo de la información](https://www.fairinstitute.org/) (FAIR), un marco de modelos cuantitativos estándar internacionales que proporciona el riesgo operativo y la seguridad de la información 2. **Priorización:** Definir las principales ciberamenazas de una organización y cuantificar la probabilidad de que se produzcan 3. **Cartografía:** Conectar la probabilidad de ciberamenazas con los ciberriesgos en términos financieros y asociarlos a futuras ciberinversiones Esto crea un libro de contabilidad que los directores de seguridad de la información (CISO) pueden utilizar para describir el argumento empresarial a favor de las iniciativas de ciberseguridad que muestran un retorno de la inversión positivo. ## **Cómo deben gestionar los consejos corporativos el ciberriesgo** [Principios para la gobernanza del ciberriesgo en los consejos de administración](https://www3.weforum.org/docs/WEF_Cyber_Risk_Corporate_Governance_2021.pdf) presenta seis principios para las juntas directivas, empezando por: - **Comprenda que la ciberseguridad es un facilitador empresarial estratégico** : Las empresas deberían analizar la ciberseguridad en el contexto de las implicaciones estratégicas, como parte del riesgo empresarial. - **Comprenda los impulsores y los impactos económicos del ciberriesgo** : Las empresas deberían definir el apetito por el ciberriesgo en términos financieros para ayudar a informar la toma de decisiones. - **Alinee la gestión del ciberriesgo con las necesidades de la empresa** : La dirección debe integrar el análisis de ciberriesgos en las decisiones empresariales. - **Asegúrese de que el diseño organizacional respalde la ciberseguridad** : La dirección debe asegurarse de que la función de ciberseguridad esté representada adecuadamente. - **Incorporar la experiencia en ciberseguridad a la gobernanza de la junta** : Las sesiones periódicas entre la dirección y el consejo deberían ofrecer información actualizada sobre los incidentes, las tendencias y las vulnerabilidades. - **Fomentar la resiliencia sistémica** : La junta debe asegurarse de que la dirección tenga planes para mejorar la resiliencia mediante la colaboración con el sector público. ## **Encontrar el equilibrio adecuado, desde una perspectiva empresarial** Los consejos de administración necesitan una comprensión profunda de los principales riesgos a los que se enfrenta la empresa y deberían poder cuantificar su posible impacto. Las decisiones sobre las inversiones de costes se pueden sopesar con el coste potencial de _no_ tomar medidas. Al alinear la gestión del ciberriesgo con las necesidades de la empresa, las organizaciones pueden crear un perfil de seguridad que se ajuste al apetito por el riesgo definido. Este proceso requiere fomentar la colaboración entre las funciones del CISO, el director de tecnología y el director de información, todos los cuales deberían participar en el análisis de cada ciberescenario. Mediante este enfoque, la junta puede pedir una reducción real del riesgo. Paralelamente, los líderes de seguridad pueden crear aliados dentro de las unidades de negocio ayudándoles a reducir el riesgo de impacto empresarial. ## **Mapeando las «joyas de la corona»** El primer paso en la gestión del ciberriesgo consiste en priorizar el lugar en el que centrarse. Las organizaciones pueden aprovechar un marco industrial como el[MITRA ATT&CK](https://attack.mitre.org/) para proporcionar información sobre los puntos ciegos mediante una visibilidad consolidada de las amenazas. MITRE proporciona una base para que los equipos de operaciones de seguridad desarrollen y diseñen un marco para las reglas de detección, que son específicas para las amenazas y vulnerabilidades únicas de una organización. Marcos como MITRE permiten[mejorar la cobertura y la respuesta a las amenazas](https://blog.cyberproof.com/blog/creating-a-smarter-soc-with-the-mitre-attck-framework) analizando parámetros como el sector, la geolocalización y el liderazgo. Con MITRE, las organizaciones pueden identificar qué amenazas, así como qué aspectos del panorama tecnológico, tienen más probabilidades de provocar daños. Al utilizar MITRE para mapear los principales activos empresariales, se puede desarrollar un plan personalizado para reducir el riesgo empresarial. ## **Reducir los costes** Dado el impacto de la recesión macroeconómica, la pregunta más importante a la que se enfrentan muchos altos ejecutivos es cómo mantener una ciberseguridad eficaz con recursos más limitados. Ahí es donde entran en juego la automatización y la inteligencia artificial (IA), ya que tienen el potencial de reducir los gastos de mitigar el riesgo. Según el de IBM[Coste de una violación de datos en 2022](https://www.ibm.com/reports/data-breach), las organizaciones que implementaban la IA y la automatización incurrieron en 3 millones de dólares menos, de media, en costes de infracción. La IA fue su mayor ahorro de costes; los que implementaban la IA y la automatización detectaban las infracciones más rápido y minimizaban el impacto en las operaciones. Otra estrategia para reducir costes incluye soluciones en la nube avanzadas que ahorran drásticamente en los costes de ingesta y almacenamiento de datos. ## **Empiece por conseguir el talento adecuado** Para lograr todo esto, las organizaciones necesitan contar con el talento adecuado. Pero es más fácil decirlo que hacerlo. En pocas palabras: hay más trabajos de ciberseguridad que el número de profesionales disponibles.[Según el (ISC)2](https://www.isc2.org/-/media/ISC2/Research/2022-WorkForce-Study/ISC2-Cybersecurity-Workforce-Study.ashx), la fuerza laboral de ciberseguridad creció hasta alcanzar los 4,7 millones de personas en 2022, el número más alto de trabajadores registrado. Sin embargo, seguían vacantes más de 3,4 millones de puestos. Es una situación difícil. La detección y la respuesta gestionadas (MDR) pueden abordar la falta de talento disponible. Los proveedores de MDR son servicios subcontratados que pueden proporcionar a las organizaciones capacidades avanzadas de operaciones de seguridad y trabajar en colaboración con esas organizaciones para remediar las amenazas una vez que se descubren. Ofrecen acceso a los mejores profesionales que proporcionan información sobre las decisiones relacionadas con la hoja de ruta y que pueden gestionar las amenazas existentes, nuevas y en evolución. Las empresas descubren que un proveedor de servicios MDR avanzado permite hacer más con menos, manteniendo la escalabilidad y reduciendo la plantilla. En el entorno actual, los proveedores de MDR son cada vez más relevantes. No se trata solo de los recursos y de cómo utilizarlos, sino también de cómo crear una hoja de ruta para el futuro. Cambiar el enfoque para evaluar la ciberseguridad como un riesgo empresarial (y, al mismo tiempo, invertir esfuerzos específicamente en las amenazas que representan el mayor peligro) puede ayudar a garantizar que la empresa esté preparada para detectar y responder con la suficiente rapidez como para proteger los activos clave de la organización. Y ese es el verdadero objetivo. Con la creciente amenaza de un ciberataque, los líderes empresariales deberían pensar en la ciberseguridad como un facilitador empresarial estratégico. Al ilustrar el argumento empresarial a favor de la ciberseguridad (alinear la gestión del ciberriesgo con los objetivos empresariales de la organización), es posible tomar decisiones actuales y futuras sobre la cibersalud de la organización en términos que la junta pueda entender.

Read more