“La compañía X sufre una brecha de seguridad que afecta a millones de datos”. Esta noticia, por desgracia, es cada vez más común en nuestros días. Ya sean datos personales de clientes o empleados, datos de tarjetas o facturación o información confidencial de las entidades, está claro que los datos valen su peso en oro y que cada vez hay más organizaciones dispuestas a hacerse con ellos, sean cuales sean los medios necesarios para conseguirlos.
En los últimos días hemos sabido del robo masivo de datos que ha afectado a una importante compañía aérea o el ataque de phishing lanzado contra la CNMV, no son más que las últimas muestras de unos ataques cada vez más frecuentes.
Según el informe de KPMG: Cybercrime survey report: Insights and perspectives, el 80% de las organizaciones a nivel mundial han definido la ciberseguridad como uno de los principales riesgos para sus negocios. Asimismo, se indica que más del 40% de estas organizaciones han sufrido ataques de este tipo en el último año y que a su vez un 46% consideran que no se encuentran adecuadamente preparados para responder ante este tipo de situaciones.
Si analizásemos esta información podríamos inferir que, si bien existe una clara preocupación y concienciación sobre este riesgo, no se están llevando a cabo las acciones adecuadas para su correcta gestión y minimización.
Tal y como hemos comentado, los datos que manejan las compañías son su verdadero tesoro, de ahí fluye la inteligencia de negocio y las campañas y estrategias que vertebran su crecimiento. Esta información puede llegar a ser muy valiosa tanto por motivos de espionaje industrial como por el valor intrínseco que pueden llegar a alcanzar en el mercado negro, ese que se mueve en la profundidad de internet, la deep web.
Esta hiperconectividad y las técnicas avanzadas de hacking presentes en la actualidad hacen que, si las organizaciones no han tomado las medidas necesarias, acceder a esta información, puede llegar a ser más sencillo y rentable que hacerlo por las vías tradicionales.
Una vez que se ha producido la brecha, los datos se pueden vender en packs o lotes de manera relativamente sencilla, realizándose los cobros mediante criptomonedas las cuales dificultan las posibilidades de rastreo.
Al tratarse de un entorno altamente cambiante, en el que la innovación juega un papel clave, es difícil mostrar una foto fija de la situación, si bien es cierto que los ataques más comunes en relación a la ciberseguridad en los últimos meses se han presentado mediante:
A esto hay que sumar que los dispositivos con los que cuentan las empresas, ya sean los de uso más común como portátiles o teléfonos inteligentes de los empleados o más novedosos debido a su conectividad (Internet of Things), actualmente supongan los principales vectores de riesgo.
La prevención es la mejor arma, desplegar mecanismos y sistemas que detecten e impidan que estos ataques puedan llegar a alcanzar su objetivo. Si esto no se ha podido evitar, entraríamos en el escenario de la respuesta. Ambas partes, la prevención y la respuesta, son las que construyen el término Cyber Incident Response (CIR), cuyo despliegue en una compañía será vital en este tipo de situaciones.
Contar con un programa de respuesta ante incidentes es básico en la actualidad y su ciclo de vida comienza antes de que el incidente se haya producido. Según el tamaño y necesidades hay organizaciones que tienen desarrollados mecanismos de vigilancia que les permiten contar con mayores capacidades, siendo la preparación, la respuesta y la recuperación los tres pilares de la gestión de este tipo de incidentes.
En este sentido, cada vez son más las regulaciones que obligan a las compañías a notificar las brechas de seguridad que pudieran haber sufrido. Desde nuestra posición hemos podido observar que estos requerimientos están sirviendo para que los procesos de ciberseguridad de las entidades vayan siendo cada vez más maduros, invirtiendo una mayor parte del presupuesto en esta dirección.
En otros países como Estados Unidos esta práctica estaba comúnmente más extendida y se veía más normal notificar este tipo de situaciones, en contraposición a los países de la Unión Europea, donde tradicionalmente no existían este tipo de obligaciones. Regulaciones como el Reglamento General de Protección de Datos o la Directiva NIS, suponen un cambio en este enfoque.
El RGPD, con un marcado estilo de gestión del riesgo en relación a los datos de carácter personal, establece cuales son las situaciones en las que una brecha debe ser comunicada ante las autoridades pertinentes e incluso ante los afectados, definiendo las potenciales sanciones que podrían derivarse de su incumplimiento.
Respecto a la Directiva NIS, cuyas siglas significan Network & Information Security, se orienta a que los Estados miembros de la Unión Europea y las principales organizaciones de cada sector puedan estar preparados para ofrecer respuesta a los incidentes a gran escala que pudieran llegar a producirse. Se establecerán condiciones de seguridad específicas para operadores de servicios esenciales y proveedores de servicios digitales y sirve como complemento a la actual Ley de Protección de Infraestructuras Críticas.
Asimismo, es recomendable poder basar las acciones de ciberseguridad de las organizaciones en las buenas prácticas y estándares internacionales que se han definido para tal efecto, las cuales ofrecen un grado de garantía considerable y cierta confortabilidad para el que despliega sus programas de ciberseguridad con base en dichos marcos de referencia.
Desde KPMG seguimos poniendo la atención sobre la importancia que la ciberseguridad ha tomado en los últimos años, recalcando la necesidad de contar con programas y estrategias específicas en esta materia dentro de cualquier organización. Como complemento a este mensaje, nuestras principales recomendaciones serían:
– Trabajar en programas específicos, transversales a toda la organización, orientados a la protección de marca, la realización de simulaciones y entrenamientos de ciberataques y ciberriesgos que involucren a la Dirección de la compañía y definir controles específicos orientados principalmente a cubrir las principales dependencias tecnológicas que existan en la entidad.
– Conocer cuál es, dónde se almacena y quién accede a la información especialmente sensible que maneja la compañía. Únicamente mediante la realización de este trabajo previo de Data Discovery y consultoría, se podrá definir una solución eficaz y adecuada a las necesidades de la organización.
– Desplegar un adecuado programa de respuesta ante incidentes (Cyber Incident Response). Como avanzábamos previamente, estos programas se componen de tres grandes fases: preparación, respuesta y recuperación. En la primera de ellas se deben llevar a cabo acciones de concienciación y de entrenamiento a los principales roles involucrados, así como contar con mecanismos y equipos que puedan probar periódicamente los sistemas y dotar de capacidades de detección. En la segunda fase nos encontramos en el centro del huracán, aquí es clave poder valorar la brecha, contenerla e investigar lo que está ocurriendo. En este momento el tiempo apremia, es por ello que si no se ha entrenado bien, cuando llegue el momento, no se podrá dar una respuesta adecuada. Por último tendríamos la fase de recuperación, que englobaría los planes de remediación de la brecha así como los de post-análisis de la misma, que permitirán emitir informes para aprender y mejorar.
– Valorar las dependencias con terceros (Third Party Risk Management). Las dependencias con terceras empresas que prestan servicios, ya sea in-situ o de manera remota son cada vez más grandes, utilizándose diferentes tecnologías y plataformas sobre las que el control y la gestión se encuentran delegados. Este escenario ha provocado que en los últimos años las brechas de seguridad derivadas de un tercero que presta servicios y que no cuenta con las medidas de seguridad adecuadas se hayan elevado de manera exponencial. La recomendación, definir y articular un proceso formal para la contratación de terceras empresas que tenga en cuenta la seguridad y contemple la realización de revisiones de seguridad periódicas, en función de su criticidad.
Deja un comentario