close
Share with your friends

La mitigación de riesgos que afectan la continuidad del negocio fuera del entorno interno de TI de una organización depende de una cultura de seguridad de la información.

La transformación digital y la conectividad han proporcionado oportunidades sin precedentes para las empresas y han revolucionado las industrias como resultado, pero estas oportunidades tienen un alto precio, ya que las organizaciones se han abierto a una creciente gama de amenazas cibernéticas.

La introducción del Reglamento de Seguridad de la Información ha obligado a las instituciones financieras a adoptar un enfoque más proactivo de la ciberseguridad. Por otra parte, únicamente este sector está obligado a tomar medidas estrictas para proteger los datos de los clientes.

Para otros sectores, todavía queda un largo camino por recorrer. La mayoría de las pequeñas y medianas empresas no pueden contratar especialistas en seguridad debido al costo añadido. El resultado es que muchas organizaciones no están preparadas para las amenazas actuales a la ciberseguridad y no pueden adoptar un enfoque proactivo para proteger su negocio.

La ciberseguridad es una práctica empresarial fundamental que afecta a las personas, los procesos y la tecnología. Un principio fundamental del diseño e implementación de procesos es la integración de la seguridad al comienzo del ciclo de vida del desarrollo del producto, en lugar de simplemente ser una característica del mismo.

Esto permite a las organizaciones modelar y fortalecer la actual postura de ciberseguridad y desarrollar la resiliencia frente a amenazas y riesgos que también están evolucionando continuamente.

 

Respuesta a COVID-19

¿Cómo afecta el brote de COVID-19 a las empresas desde una perspectiva de ciberseguridad?

Muchas organizaciones no han adoptado realmente trabajo remoto antes, pero ahora se ven obligadas a decirles a los empleados que trabajen desde casa. Uno de los grandes factores de riesgo, especialmente cuando las empresas comparten datos con terceros, es la seguridad de los dispositivos finales.

Si un dispositivo está dentro de su política corporativa, esperemos que tenga los conceptos básicos, como la aplicación de parches, antivirus actualizado, supervisión y una VPN segura ya configurada. Por otra parte, si el personal o los proveedores se conectan desde un dispositivo de terceros, incluyendo computadoras personales, las probabilidades de tener las mismas protecciones disminuyen significativamente.

Esto puede abrir empresas hasta el mismo rango de amenazas que los usuarios domésticos, como ser WiFi no seguro y “routers” que no han cambiado sus contraseñas predeterminadas. Al hacerlo, las empresas están aumentando su superficie de ataque potencial y son cada vez más vulnerables a los tipos de ciberdelincuentes oportunistas que buscan objetivos fáciles.

¿Cuán importante es en este momento de pandemia que las empresas consideren a la ciberseguridad como un riesgo fundamental?

Se ha estado tratando de concientizar a las empresas a nivel mundial, sobre como la seguridad es un riesgo empresarial central. Un ejemplo importante es la introducción del Reglamento General para la Protección de Datos (General Data Protection Regulation) en 2018, que debe ser de cumplimiento obligatorio por todas las empresas en Europa y que está sujeto a fuertes sanciones económicas.

La alta Gerencia debe considerar TI como un riesgo central continuo y ser conscientes que las amenazas conocidas se pueden mitigar con “sanitización cibernética básica”. No se trata de invertir mucho dinero en aplicaciones de alto costo, tomando en cuenta que la gente tiende a ser el vientre blando de las empresas, por lo que se trata simplemente de asegurarse de que aquellos que están trabajando a distancia tienen controles sensatos, pragmáticos y proporcionales en su lugar y son conscientes de las amenazas.

¿Qué recomendaciones deben adoptar las empresas en términos de qué controles implementar?

La respuesta natural de las empresas es que todo debe estar disponible de forma remota, pero el acceso abierto podría tener consecuencias perjudiciales. Por otro lado, el bloquear el acceso a todo no es el enfoque correcto porque los empleados todavía necesitan ser productivos y muchos encontrarán maneras de evitarlo de todos modos.

En su lugar, las empresas deben pensar cuidadosamente en qué acceso realmente necesitan proporcionar y cómo están monitoreando este aspecto. Asimismo, deben asegurarse de que tienen un buen plan de respuesta a incidentes que consideré aspectos de conexión remota, ya que es probable que el nivel de ciber amenazas incremente antes de que todo vuelva a la normalidad.

¿Cómo pueden las empresas garantizar que el personal esté al tanto de las prácticas adecuadas a seguir mientras trabaja desde casa?

La conciencia es vital ya que uno de los puntos de entrada a muchos ataques son las personas. El simple hecho de no prestar atención a una política de contraseñas, no actualizar sus computadoras personales o caer en correos electrónicos o mensajes falsos en las redes sociales (phishing).

En estas últimas semanas, se vio un gran incremento de envió de enlaces falsos que se hacen pasar por información importante relacionada con COVID-19 y que los ciber delincuentes utilizan para atraer a las personas por lo que es importante que sepan cómo detectarlos.

Mucho de esto debe provenir del liderazgo de la empresa y descender como un mensaje importante para el personal. Se debe encontrar maneras eficientes de comunicarse con el personal y asegurarse de que las personas están liderando con el ejemplo. Esto no solo colaborará al interior de las empresas sino también a la Sociedad en general, porque ellos mismos transmitirán un mensaje similar a sus familias y personas conocidas.

¿Cómo está KPMG ayudando a las empresas a lidiar con los riesgos en ciberseguridad durante esta época de pandemia?

Estamos asesorando absolutamente a la prudencia, no al pánico. De esta manera, somos capaces de apoyar a las empresas de forma proactiva y reactiva.

Proactivamente, les ayudamos a entender su riesgo e identificar pasos pragmáticos y proporcionados para elaborar mejores planes de respuesta a incidentes y continuidad del negocio. En el lado reactivo, tenemos un gran equipo de respuesta a incidentes para ayudar a las empresas que piensan que pueden haber sufrido algún ataque. La clave es comprender rápidamente si ha habido un compromiso real y, si es así, qué datos se han visto afectados.

Es importante mencionar que COVID-19 no es el primer riesgo importante al que se enfrentan las empresas en la última década y no será el último, por lo que deben prepararse de mejor manera una vez culminado este periodo de pandemia. Lo que ha ocurrido con COVID-19 es un claro ejemplo de que un riesgo con probabilidad muy baja puede tener un impacto muy significativo.