La gestión de los riesgos cibernéticos ha cobrado una importancia considerable en los últimos años, como resultado de los esfuerzos de las empresas por superar los retos operativos de la pandemia, realizar la transición al trabajo híbrido y prepararse para las posibles repercusiones de acontecimientos geopolíticos significativos y los riesgos cibernéticos emergentes.
Complemente su lectura con nuestro episodio «Tendencias en ciberseguridad en 2022» del podcast The RegTech Report. Escuche el episodio completo para obtener una visión global sobre cómo crear un potente programa de gestión de riesgos cibernéticos, el impacto de las normas propuestas por la SEC sobre la estrategia de riesgos cibernéticos, la gobernanza y la divulgación de incidentes por parte de las empresas públicas en EE. UU., las deficiencias más comunes en los marcos de ciberseguridad, los riesgos cibernéticos emergentes y mucho más.
Los gobiernos han realizado importantes inversiones en la creación de organizaciones que supervisan las amenazas y proporcionan asesoramiento práctico a empresas y organizaciones, con el fin de ayudarles a prepararse para los ciberataques, desarrollar programas sólidos de gestión de riesgos cibernéticos y garantizar la resiliencia.
Organizaciones como la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) de EE. UU. y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido publican periódicamente informes sobre el estado general de preparación de las empresas frente a los ciberataques en EE. UU. y el Reino Unido. Su objetivo no es alarmar, sino educar a los líderes empresariales y a sus equipos sobre los nuevos riesgos cibernéticos a los que se enfrentan y las medidas prácticas que pueden adoptar para mitigarlos. Por lo general, estas directrices se hacen eco de los consejos ofrecidos por los equipos de seguridad de la información dentro de las organizaciones y ayudan a validar muchos casos de negocio para invertir más en proyectos de ciberseguridad e iniciativas de gestión de riesgos cibernéticos.
Revisión de las evaluaciones de riesgos y vulnerabilidades cibernéticas de la CISA
La CISA ha revisado recientemente sus evaluaciones de riesgos y vulnerabilidades para el año fiscal 2021, que abarcaban las evaluaciones de riesgos y vulnerabilidades (RVA) de 112 organizaciones del Gobierno federal de los Estados Unidos y del sector privado. Esta revisión de las RVA puso de relieve algunos de los modelos que utilizan los actores maliciosos para atacar y explotar las redes, entre ellos, la entrada inicial, la ejecución del ataque, la persistencia, la escalada de privilegios y la exfiltración. También destaca el impacto en las empresas y proporciona medidas prácticas para cada aspecto que las empresas pueden adoptar para abordar los problemas.
En la revisión del año fiscal 2021, los riesgos críticos que señaló la CISA incluyeron los ataques de phishing y el uso generalizado de credenciales de seguridad predeterminadas. El análisis destacó la necesidad de impartir formación periódica sobre los ataques de phishing y el uso de contraseñas seguras, que se cambian con regularidad. El informe también destacaba la necesidad de revisar periódicamente las técnicas de intrusión para que, cuando se produzcan incidentes con nuevas técnicas, las organizaciones puedan responder con rapidez. Otras cuestiones destacaban la necesidad de cambiar las contraseñas predeterminadas, actualizar y parchear el software periódicamente, así como encontrar y corregir los puertos abiertos.
Informe sobre amenazas a la ciberseguridad del NCSC del Reino Unido
Estos sentimientos se reflejaron en un informe reciente del NCSC del Reino Unido, en el que se destacaban los riesgos específicos que entrañan los dispositivos conectados de las empresas (ECD). Los dispositivos ECD incluyen ordenadores portátiles, teléfonos inteligentes y dispositivos empresariales del Internet de las cosas (IoT) que son dispositivos físicos —por ejemplo, frigoríficos, detectores de humo, cámaras y detectores de presencia— que contienen capacidades de conectividad de red que permiten controlarlos de forma remota. Los ECD son muy populares, ya que ofrecen flexibilidad de gestión y ahorro de eficiencia a muchos entornos de trabajo.
Sin embargo, aunque son populares, los ECD pueden suponer un riesgo significativo para la seguridad, dada la falta de comprensión por parte de la mayoría de los empleados de los riesgos de seguridad que conllevan y la falta de visibilidad de estos dispositivos en las oficinas. El informe del NCSC destacó muchas de las amenazas que plantean los ECD. Los piratas informáticos los utilizan como punto de partida para acceder a otros sistemas más seguros. La falta de visibilidad de los dispositivos IoT y el uso de configuraciones de seguridad predeterminadas hacen que sean adecuados para ataques laterales a otros sistemas que pueden dar lugar, por ejemplo, al robo de datos o a ataques de ransomware. El uso de estos dispositivos en la cadena de suministro de una empresa también representa una amenaza, ya que, aunque una empresa tenga políticas y controles estrictos en materia de ECD, puede darse el caso de que sus proveedores no los tengan.
Esta situación pone de relieve el problema al que se enfrentan las empresas a la hora de determinar la mejor manera de responder a los riesgos cibernéticos, que afectan tanto a la organización como a terceros, cuando los recursos y los costes siguen siendo limitados.
Habilitación de potentes capacidades de gestión de riesgos cibernéticos
Las nuevas capacidades tecnológicas están animando a los equipos de seguridad a replantearse cuál es la mejor forma de abordar este tipo de retos. Ahora pueden ofrecer una forma alternativa de gestionar los riesgos cibernéticos, dejando la implementación y la supervisión de la política de seguridad de una empresa en manos de los usuarios finales y sus responsables, en lugar de limitarse a un pequeño equipo de seguridad, que suele estar sobrecargado de trabajo.
Un enfoque basado en SaaS significa que los equipos de seguridad pueden proporcionar una biblioteca de documentos de políticas de seguridad fácil de navegar, con potentes funciones de búsqueda y preguntas frecuentes, que permite a los empleados comprender sus obligaciones a un ritmo que se adapte a ellos y a sus proyectos. Las capacidades de formación y evaluación ayudan a mejorar las habilidades y la concienciación de los empleados sobre las amenazas de seguridad nuevas y emergentes. Las capacidades de certificación les permiten documentar y proporcionar pruebas de cómo cumplen con las normas de seguridad. Las capacidades de IA permiten a los equipos de seguridad de la información saber dónde no se cumplen las normas, a medida que cambian las necesidades específicas de la empresa.
Este enfoque permite a los equipos de seguridad de la información orientar mejor a la organización y a terceros sobre su política de ciberseguridad a un ritmo que todos puedan gestionar. También significa que el equipo de seguridad de la información puede seguir siendo el árbitro final del programa de gestión de riesgos cibernéticos.
La plataforma GRC de Mitratech ofrece una amplia gama de funciones que cubren casos de uso clave de GRC, tales como: gestión de riesgos cibernéticos, gestión de riesgos de terceros, seguridad de la información y muchos más.
Echa un vistazo a esta selección cuidadosamente elaborada de contenidos que tienen como objetivo mostrar cómo Mitratech puede ayudar a las organizaciones a mejorar sus programas de ciberseguridad.
- Consulte nuestro folleto: Gestión de riesgos cibernéticos para obtener una visión completa de las acciones clave para crear un programa de gestión de riesgos cibernéticos exitoso a lo largo de su ciclo de vida.
- Además, eche un vistazo a nuestro folleto: Resiliencia cibernética para obtener más información sobre las funcionalidades integradas de extremo a extremo disponibles en la plataforma GRC de Mitratech.
Informe RegTech
Este podcast es la fuente a la que acudir para todo lo relacionado con RegTech, incluyendo
noticias sobre RegTech, conexión con pioneros del sector y actualizaciones sobre las últimas tecnologías.
