Al parecer, cada semana otra empresa o agencia del gobierno de Estados Unidos ha sido víctima de un ciberataque.
Las empresas, de todo el mundo deben estar preparadas para manejar el riesgo que resulta de operar en un paisaje digital, en especial a medida que más personas utilizan sus propios dispositivos móviles por motivos de trabajo.
Hasta ahora uno de los gobiernos federales como es el de los EE UU, ha instado a los jefes y ejecutivos de las áreas correspondientes a prepararse para gestionar los ataques cibernéticos.
Las buenas razones para creerlo
Según un reporte de investigación realizado por Verizon durante este año, se arrojan las siguientes cifras.
- Las empresas perdieron un estimado de $ 400 millones de dólares como resultado de 700 millones de registros comprometidos en todo el mundo.
Otros países están tomando medidas para protegerse.
- Empresas en Australia, por ejemplo, están invirtiendo fuertemente en la seguridad móvil y en la nube, sobre todo a medida que más empresas alientan a los empleados a traer sus propios dispositivos al trabajo.
Gartner informa que el mercado de la tecnología y servicios de seguridad en Australia está previsto que llegue a casi:
- $ 2,36 mil millones en dólares australianos en 2015, lo que equivale a $ 1,72 mil millones en dólares estadounidenses, más del 24,8% de $ 1.89 mil millones en el año 2014 (1.38 millones de dólares estadounidenses).
Gatner establece que:
Estamos en la cúspide de una nueva era, la convergencia de las TI, OT [tecnología operativa] y el Internet de las Cosas (IoT).
- Si bien el internet de las cosas (IoT) es relativamente nuevo, el mayor desafío para los profesionales de seguridad y riesgo es encontrar la manera de llevar la OT a un programa de gestión de la seguridad más amplio, que era gestionado tradicionalmente por ingenieros.
- Estos roles se están expandiendo a otras áreas y cada vez más están siendo más complejos.
“La seguridad ha evolucionado y ya no es sólo acerca de la información; sino de confidencialidad, integridad y disponibilidad”.
- Ahora estamos controlando dispositivos físicos reales, por lo que la seguridad es un problema real que está obligando a los profesionales a expandir su forma de pensar.
- “El negocio digital tiene implicaciones de largo alcance para la gestión de identidades y acceso, prácticas de seguridad y gestión de riesgos. Uno de los grandes retos que genera es que efectivamente cada negocio ya es un negocio de TI, cada presupuesto cuenta con un presupuesto de TI y cada departamento está comprando TI. Los equipos de seguridad y de riesgo no siempre cuentan con la visibilidad que necesitan, pero siguen siendo responsables de la seguridad general y la postura de riesgo en toda la organización”.
A los CEO’s se les insta a gestionar los riesgos.
En estas costas, el gobierno federal está vigilando de cerca el riesgo de hacer negocios en la web y anima a los CEOs a estar atentos a la protección de sus activos en línea.
- “Las amenazas cibernéticas evolucionan constantemente con mayor intensidad y complejidad”.
- Esto lo avala un documento publicado por el Departamento de US Computer Emergency Readiness Team de Seguridad Nacional (US-CERT).
En el documento hay preguntas para los CEOs, que hay que tomar en cuenta, como:
“La capacidad de lograr objetivos de misión y entregar funciones de negocios es cada vez más dependiente de los sistemas de información e Internet, por lo que resulta en un aumento de los riesgos cibernéticos que podrían causar graves trastornos a las funciones comerciales de una empresa o a la cadena de funcionamiento, el impacto en la reputación, o comprometer los datos confidenciales de sus clientes así como de propiedad intelectual”.
La aseguradora Lloyd de Londres está instando a las empresas a prepararse.
Los directivos deben ser orientados para estar al tanto de los peligros potenciales, tales como:
- Gestión de riesgos digitales: Tendencias, cuestiones e implicaciones para su negocio.
Las juntas tienen que ser conscientes de los riesgos digitales y regularmente actualizarse sobre las novedades y tendencias.
Las empresas son cada vez más dependientes de la tecnología, para ejecutar sus operaciones y servicios y si bien esto trae obvios beneficios, también significa que las empresas son cada vez más vulnerables a los fallos de los sistemas, tales como pérdidas de datos y ataques cibernéticos.
- A medida que la cantidad de información digital crece exponencialmente, los dispositivos se vuelven más inteligentes y los aumentos de la conectividad, los entornos digitales son muy probables de que se conviertan aún más complejos.
- La tendencia es hacia la creación de redes más sociales, el crecimiento de la computación en nube, y las variantes regulaciones se sumarán únicamente a esta complejidad.
En su informe, el Departamento de Seguridad Nacional (DHS) sugirió a los CEOs.
Analizar la manera de cómo ellos gestionan el riesgo digital en la era cibernética a través de las siguientes cinco preguntas:
- Cómo nuestro liderazgo ejecutivo se informa sobre el impacto y nivel de los riesgos cibernéticos en nuestra empresa.
- Cuál es el impacto y nivel de los riesgos cibernéticos en nuestra empresa.
- Cuál es el plan para hacer frente a los riesgos hasta ahora identificados.
- Cómo nuestro programa de ciberseguridad se aplica los estándares industriales y las mejores prácticas.
- Cuántos y de qué tipo de incidentes cibernéticos podemos detectar en una semana normal.
- Cuál es el umbral de notificación a nuestro liderazgo ejecutivo.
- Qué tan integral es nuestro plan de respuesta a incidentes cibernéticos. Con qué frecuencia se prueba.
- El Departamento de Seguridad Nacional sugiere a las empresas que desarrollen pruebas regulares para generar planes de respuesta a incidentes y ataques cibernéticos.
Aún así, una organización bien defendida experimentará un ciber-incidente en algún momento.
Cuando se penetren las defensas de la red, un CEO debe estar preparado para responder:
- ¿Cuál es el Plan B?
- Los planes de respuesta a incidentes cibernéticos que se ejercen regularmente ayudan a permitir una respuesta rápida y oportuna que apoye a minimizar los impactos.
- A medida que la complejidad relativa de la infraestructura digital crezca, también lo hará la superficie ante la amenaza que la rodea.
- La IoT, por ejemplo, inserta literalmente miles si no millones de nuevos vectores de amenaza simplemente por aumentar el número de puntos en la red en la infraestructura, con diversos grados de capacidades.
- Como cualquier sistema aumenta la complejidad, no sólo crece la superficie de amenaza, sino también el requisito general para estabilizar los sistemas con diseño y operaciones efectivas.
- Hay mucho por hacer en este rubro por lo que los RR HH deben de estar al tanto de este tema de alto impacto en el Big Data, el cual, sin duda seguirá creciendo.
Fuente: http://www.shrm.org/hrdisciplines/technology/articles/pages/prepare-to-manage-digital-risk.aspx#sthash.ZStAo6V9.dpuf
