A medida que la frecuencia de los ciberataques sigue aumentando, las organizaciones deben estar mejor preparadas para mitigar dichos eventos. Los ciberdelincuentes est谩n obteniendo cada vez m谩s acceso a herramientas como el ransomware, lo que les facilita lanzar ataques y, en consecuencia, las organizaciones deben tener una estrategia definida de gesti贸n de riesgos cibern茅ticos para hacer frente a estos ataques.
En 2018, el coste medio de una infracci贸n cibern茅tica fue de 3,86 millones de d贸lares, un 6,4 % m谩s que el a帽o anterior. Las estad铆sticas se han duplicado en porcentaje, con lo que el coste total de un ciberataque asciende a 4,6 millones de d贸lares en 2019. El alto coste de una violaci贸n se debe a una protecci贸n inadecuada o inexistente contra un hackeo. Y as铆, la Autoridad Canadiense de Registro de Internet (CIRA) estaba investigando esta preocupante tendencia y revel贸 que el 37 % de los encuestados no ten铆an protecci贸n contra malware y el 71 % no ten铆a una pol铆tica de parches. Con hallazgos tan preocupantes, est谩 claro que el riesgo cibern茅tico debe ocupar un lugar destacado en la lista de prioridades para que las organizaciones lo mitiguen. Hay algunos factores clave que las organizaciones deben considerar implementar para facilitar el proceso de hacer frente a un ciberataque a medida que se desarrolla y proteger contra otro suceso.
Comunicaci贸n clara de los riesgos cibern茅ticos a la Junta
En caso de una infracci贸n cibern茅tica, un CIO o un equipo similar participar谩 inmediatamente para evaluar los riesgos. Una vez completado un an谩lisis de la situaci贸n, el equipo debe comenzar a implementar la estrategia de mitigaci贸n de riesgos de la organizaci贸n (si existe). Comprender el coste de la situaci贸n es pertinente informar al resto del equipo ejecutivo para entender cu谩nto da帽o se ha hecho.
Este proceso se desarrolla a partir de una profunda comprensi贸n y experiencia de la ciberseguridad y puede que no se traduzca necesariamente en la junta. Como tal, una parte clave de la notificaci贸n de riesgos debe ser la conciencia de d贸nde se encuentra la comprensi贸n de la seguridad cibern茅tica por parte de la junta y cerrar la brecha sobre el pensamiento de riesgo cibern茅tico entre el equipo de tecnolog铆a y la junta. La junta podr铆a considerar una violaci贸n como una no cuesti贸n y ponerla en un lugar bajo de la lista de prioridades a tratar. Necesitan ser preparados e informados de forma proactiva de que si un ciberataque golpeara a la empresa, cu谩les ser谩n los efectos en t茅rminos de d贸lares reales (sin mencionar la reputaci贸n de la empresa y la seguridad de la informaci贸n), por qu茅 deben preocuparse y c贸mo proceder despu茅s de la incumplimiento. Esto crear谩 una mayor comprensi贸n de la ciberseguridad en la mente de la junta y la colocar谩 m谩s arriba en su lista de prioridades.
Tener una estrategia definida de gesti贸n del riesgo cibern茅tico
Una estrategia de gesti贸n de riesgos cibern茅ticos le permitir谩 ponerse frente a los ciberdelincuentes y darle un plan claro para seguir el orden de mitigar la violaci贸n. Imagine un ataque DDoS (denegaci贸n de servicio distribuido) que apague los servidores de la empresa, evitando que los clientes potenciales interactuen con su sitio web y causando una ca铆da en las compras (l茅ase: ingresos). Una estrategia de riesgo definida permitir谩 mitigar r谩pidamente los ataques y minimizar el impacto en su balance.
Otro activo que puede verse afectado por un ciberataque es la reputaci贸n de la empresa: es intangible, pero invaluable. Despu茅s de haber mencionado ya la violaci贸n de Equifax en este entorno de blog, es importante recordar el estudio de caso y la mala gesti贸n del riesgo cibern茅tico por parte de la empresa. La empresa anunci贸 la infracci贸n el 7 de septiembre de 2017. La primera vez que not贸 tr谩fico sospechoso fue el 7 de julio, despu茅s de lo cual se contrat贸 a una empresa independiente de ciberseguridad para investigar el ataque, que comenz贸 el 2 de agosto. Estas grandes brechas de tiempo son un ejemplo de Equifax luchando por encontrar una manera de mitigar el ataque en el 煤ltimo minuto, o siendo perezoso (lo cual es a煤n m谩s desafortunado). Para empeorar las cosas, los ejecutivos de Equifax vendieron 1,8 millones de d贸lares en acciones de la empresa entre el 1 y el 2 de agosto, lo que cre贸 la impresi贸n de que conoc铆an la brecha (aunque la negaron) que da帽贸 a煤n m谩s la reputaci贸n de la empresa. Imagine c贸mo deben sentirse los clientes actuales desde la violaci贸n; 驴qu茅 har铆a que un cliente potencial quisiera inscribirse en sus servicios despu茅s de tal ocurrencia (y sentirse seguro de su seguridad)?
隆En resumen!
Con los ciberataques nuevos y cada vez m谩s peligrosos por parte de delincuentes, la mitigaci贸n del riesgo cibern茅tico deber铆a ser una piedra angular del marco de gesti贸n de riesgos de una empresa. Es pertinente abordar la comunicaci贸n y es crucial para proporcionar a una organizaci贸n un plan de respuesta despu茅s de una violaci贸n cibern茅tica. Otra gran parte de la gesti贸n y prevenci贸n de riesgos es ense帽ar a los empleados qu茅 buscar y ser capaces de identificar actividades sospechosas. En nuestro seminario web m谩s reciente, discutimos c贸mo es un ataque de ransomware e ilustramos formas de prevenirlo desde el principio.
Ponte en contacto con uno de nuestros consultores y descubre c贸mo podemos ayudarte.