Ciberataques: el exceso de confianza, una puerta abierta para los ciberdelincuentes

Ciberataques: el exceso de confianza, una puerta abierta para los ciberdelincuentes

Luis Hernández
12/05/2022
Forvis Mazars España, Auditoría, Buen Gobierno y Riesgos, Transformación
Inicio

El aumento en la frecuencia, severidad e impacto de los ciberataques sufridos tanto por las compañías como por particulares no ha dejado de ocupar titulares en los últimos tiempos. Los riesgos no han dejado de aumentar, en parte, por una mayor integración de las actividades profesionales y cotidianas en los Sistemas de Información. No es de extrañar que desde 2018 estos ataques se hayan incremento en más de un 30%, según un informe de la Asociación de Auditoría y Control de Sistemas de Información (ISACA) y no podemos descartar que este dato se incremente ante la actual situación geopolítica derivada de la invasión de Rusia en Ucrania.

El pasado mes de marzo, el Gobierno elevó al nivel 3 (en una escala de cinco grados) su alerta de ciberseguridad y, además, pretende aprobar una batería de medidas, “sin precedentes”, según la ha calificado la ministra de Asuntos Económicos y Transformación Digital, Nadia Calviño, dentro del nuevo Plan Nacional de Ciberseguridad, para el que se destinarán 1.200 millones de euros.

Pese a este evidente incremento de los riesgos hay quiénes se sienten blindados frente a los ciberdelincuentes. Nueve de cada diez directivos españoles considera que su madurez de datos es superior a la de sus competidores y se siente totalmente protegidos frente a una posible ciberamenaza, según el informe C-suite Barometer de Mazars. Este exceso de confianza podría considerarse una puerta abierta a los ciberdelincuentes y lo cierto es que las noticias sobre ciberataques que dejan expuestos datos de clientes no dejan de ocupar espacios en los informativos.

Nueve de cada diez directivos españoles considera que su madurez de datos es superior a la de sus competidores

¿Cómo reforzar la defensa en nuestra organización?

Ante esta situación y pese a la ausencia de una normativa, es importante que las empresas refuercen sus sistemas de defensa en base a un triple enfoque centrado en la empresa, los departamentos y los sistemas:

  1. Centrado en la empresa
    Este enfoque estratégico busca entender qué información es crítica y puede ser buscada por los ciberdelincuentes, así como el nivel de exposición o probabilidad a ser atacados y en su caso, cuál sería el impacto del ataque.
  2. Centrado en el departamento
    Teniendo en cuenta las limitaciones de recursos para mitigar todas las amenazas, este enfoque táctico busca asignar una prioridad para cada riesgo en función de los objetivos del departamento. Por otro lado, estaríamos mitigando los riesgos específicos derivados de las operaciones de cada una de las unidades de negocio, así como el uso de la segunda línea de defensa de los controles definidos a nivel de empresa.
  3. Centrado en los sistemas
    Este enfoque operativo busca identificar las posibles amenazas a un sistema, sus vulnerabilidades y probabilidad de ser explotadas. A partir de esto, deberíamos evaluar los controles de seguridad que operan sobre los sistemas y relacionar su resultado con las amenazas identificadas. Será imprescindible desarrollar un plan de acción para corregir las deficiencias encontradas en la ejecución de los controles y hacer un seguimiento periódico de los avances al respecto.

Cómo valorar mi capacidad de respuesta ante un ciberataque

En ausencia de un reglamento o de un estándar, el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés) de Estados Unidos propone revisar los controles implementados por una empresa en cada una de las siguientes cinco actividades críticas:

  • Identificación delos sistemas, personas, activos, datos y capacidades.
  • Protección de los sistemas que garantice la prestación de servicios críticos.
  • Detección de los eventos que puedan suponer un ataque o intrusión.
  • Respuesta a un incidente de ciberseguridad detectado.
  • Recuperación en caso de haber sido impactados por un incidente.

Asimismo, de cara a dar respuesta a estos puntos cuando alguna de las actividades de negocio o gestión de los sistemas de información de nuestra compañía se encuentran externalizada, la asociación internacional AICPA (Association of International Certified Professional Accountants), ha desarrollado un programa de trabajo para evaluar la gestión de riesgos de ciberseguridad que ayuda a las organizaciones prestadoras de servicios a comunicar información relevante y útil sobre la eficacia de sus programas de gestión de riesgos de ciberseguridad a través del informe denominado “SOC for Cybersecurity”.

Si ha sufrido un ciberataque, ¿qué pasos debería seguir?

No obstante, en caso de ser atacados, estos son algunos de los pasos que se recomiendan seguir:

  1. Parar todas las máquinas, desconectarse de Internet y aislar el virus lo antes posible.
  2. Solicitar la cobertura de la póliza de ciberseguridad, en caso de tenerla.
  3. Activar el Protocolo de Respuesta ante Incidentes (PRI), interno o que se disponga con un proveedor externo.
  4. Realizar una auditoría / diagnóstico de lo sucedido.
  5. Acudir a las fuerzas y cuerpos de seguridad del estado para realizar una denuncia de los hechos
  6. En caso de que se haya producido una sustracción de información de datos de carácter personal, se debe notificar la brecha de seguridad tanto a los afectados como a la Agencia Española de Protección de Datos en un plazo de 72 horas.
  7. Realizar un informe forense sobre cómo se ha producido dicho ataque.
  8. Valorar el impacto de las pérdidas.
  9. Diseñar un plan de acción.

Es probable que todas las compañías sufran algún ciberataque en algún momento, la calve está en minimizar el impacto

Con todo ello, desde un punto de vista de negocio, podemos decir que recibir un ciberataque y, en su caso, la dimensión de las pérdidas financieras del mismo, estarían estrechamente relacionadas con cómo la compañía estaría incorporando dentro de su planificación estratégica y objetivos del negocio, la ciberseguridad como eje transversal en sus operaciones. Aun así, por bien protegida que esté una organización, es probable que un ciberataque le afecte en algún momento, para lo cual, será vital tener un plan de respuesta y recuperación para minimizar el impacto en la continuidad de su negocio.

Por lo anteriormente indicado, es muy recomendable que las organizaciones deban apoyarse en expertos independientes que puedan ayudar tanto en el desarrollo de todo el proceso de refuerzo o prevención, pasando por el desarrollo de políticas internas que entre otros garantizan la custodia de la información, como a la hora de actuar ante algún ataque o incidente no deseado.

Más Información
Luis Hernández
Últimas entradas de Luis Hernández (ver todo)
 
Etiquetas:
, ,
Luis Hernández
Luis Hernández es Senior Manager de Auditoría IT de Forvis Mazars. En su trayectoria ha trabajado tanto con empresas cotizadas en Estados Unidos, bajo normativa PCAOB, así como a nivel internacional, bajo normativa NIAS. Entre sus áreas de especialización destacan la evaluación y gestión de riesgos IT, control interno IT (auditoría de CCAA, SoX, COSO), auditoría de Seguridad IT, Lead Implementer en Continuidad de Negocio (ISO 23001) y Data Analytics. La experiencia de Luis se ha consolidado en base al entendimiento de los diferentes procesos de negocio e identificación de los controles asociados para empresas del sector de TMT, Banca, Industria y Retail. [vc_btn title="Escríbeme" shape="square" link="url:https%3A%2F%2Fwww.mazars.es%2FPagina-inicial%2FContactenos||target:%20_blank|"]

Related Posts

Newsletter Derecho Laboral – Enero 2025

30/01/2025
Forvis Mazars España, Actualidad Legal, Laboral

La Inteligencia Artificial y el Riesgo de Pruebas Digitales Falsas en el Sistema Judicial: Análisis y Propuestas de Reforma

28/01/2025
Forvis Mazars España, Buen Gobierno y Riesgos, Consultoría, Laboral, Legal, Regulatorio, Tendencias sectoriales, Transformación

Circular informativa Derecho de la Empresa de Diciembre 2024

17/01/2025
Laboral, Actualidad Fiscal, Actualidad Legal, Auditoría, Buen Gobierno y Riesgos, Forvis Mazars España, Mercantil
creando_nuevologo
“Creando Soluciones de Valor” es la publicación online de Forvis Mazars que incluye los artículos, informes y análisis elaborados por la firma y sus profesionales sobre las temáticas relacionadas con los grandes retos a los que se enfrentan las compañías en la actualidad: innovación, tendencias sectoriales, novedades legales y fiscales, gestión de riesgos, buen gobierno, regulación, transformación digital, y muchos otros.
© 2020 Creando soluciones de valor by Forvis Mazars
Luis Hernández
Últimas entradas de Luis Hernández (ver todo)