Mitratech - Ciberriesgos emergentes - Blog Banner
Mitratech - Ciberriesgos emergentes - Blog Banner

Ciberriesgos emergentes en EE.UU. y el Reino Unido

Javier Gutiérrez |

La importancia de la gestión del ciberriesgo ha aumentado significativamente en los dos últimos años, como resultado de la superación por parte de las empresas de los retos operativos de la pandemia, la transición al trabajo híbrido, la preparación para las posibles consecuencias de importantes acontecimientos geopolíticos y los ciberriesgos emergentes.

Complemente su lectura con nuestro episodio Tendencias en ciberseguridad en 2022 de  Podcast del Informe RegTech. Escuche el episodio completo para obtener una visión completa sobre la creación de un potente programa de gestión de riesgos cibernéticos, el impacto de las normas propuestas por la SEC sobre la estrategia de riesgos cibernéticos, la gobernanza y la divulgación de incidentes por parte de las empresas públicas en los EE.UU., las lagunas más comunes en los marcos de ciberseguridad, los riesgos cibernéticos emergentes y mucho más.

Los gobiernos han invertido mucho en la creación de organizaciones que vigilen las amenazas y proporcionen asesoramiento práctico a empresas y organizaciones, con el fin de ayudarles a prepararse para los ciberataques, desarrollar sólidos programas de gestión de los ciberriesgos y garantizar la resistencia.

Obtenga más información sobre cómo la gestión del ciberriesgo está remodelando el panorama actual de los riesgos.

Organizaciones como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el Reino Unido Centro Nacional de Ciberseguridad (NCSC) publican periódicamente análisis sobre el estado general de preparación de las empresas en relación con los ciberataques en Estados Unidos y el Reino Unido. Su objetivo no es ser alarmistas, sino educar a los líderes y equipos empresariales sobre los riesgos cibernéticos emergentes a los que se enfrentan y las medidas prácticas que pueden poner en marcha para mitigarlos. Normalmente, esta orientación se hace eco de los consejos ofrecidos por los equipos de seguridad de la información dentro de las organizaciones, y ayuda a validar muchos casos empresariales para invertir más en proyectos de ciberseguridad e iniciativas de gestión de riesgos cibernéticos.

Revisión de Evaluaciones de Ciberriesgos y Vulnerabilidades de CISA

CISA ha revisado recientemente su FY2021 Evaluaciones de riesgos y vulnerabilidadesque abarcó las evaluaciones de riesgos y vulnerabilidades (RVA) de 112 organizaciones del Gobierno Federal y del sector privado de Estados Unidos. Esta revisión RVA destacó algunos de los modelos que los actores maliciosos utilizan para atacar y explotar las redes, incluyendo, la entrada inicial, la ejecución del ataque, la persistencia, la escalada de privilegios y la exfiltración. También destaca el impacto en las empresas y proporciona medidas prácticas para cada aspecto que las empresas pueden tomar para hacer frente a los problemas.

En el análisis del año fiscal 2021, los riesgos críticos señalados por CISA incluían los ataques de phishing y el uso generalizado de credenciales de seguridad por defecto. El análisis subrayó la necesidad de una educación periódica sobre los ataques de phishing y el uso de contraseñas seguras, que se cambien regularmente. El informe también destacaba la necesidad de revisar periódicamente las técnicas de intrusión para que, cuando se produzcan incidentes con nuevas técnicas, las organizaciones puedan responder con rapidez. Otras cuestiones destacadas fueron la necesidad de cambiar las contraseñas por defecto, actualizar y parchear el software con regularidad, así como encontrar y arreglar los puertos abiertos.

Informe sobre amenazas a la ciberseguridad del NCSC británico

El Reino Unido se ha hecho eco de esta opinión en un reciente Informe de la NCSCen el que se destacan los riesgos particulares que entrañan los dispositivos conectados a la empresa (DCE). Los dispositivos ECD incluyen ordenadores portátiles, teléfonos inteligentes y dispositivos empresariales del Internet de las cosas (IoT) que son dispositivos físicos -pensemos en frigoríficos, detectores de humo, cámaras y detectores de presencia, por ejemplo- que contienen capacidades de conectividad de red que permiten controlarlos a distancia. Los ECD son populares porque ofrecen flexibilidad de gestión y ahorro de eficiencia a muchos entornos de trabajo.

Sin embargo, a pesar de su popularidad, los ECD pueden suponer un importante riesgo para la seguridad, dada la falta de comprensión de la mayoría de los empleados sobre los riesgos de seguridad que conllevan y la falta de visibilidad de estos dispositivos en toda la oficina. El informe del NCSC destaca muchas de las amenazas que ofrecen los ECD. Los hackers los utilizan como punto de partida para acceder a otros sistemas más seguros. La falta de visibilidad de los dispositivos IoT y el uso de configuraciones de seguridad predeterminadas significa que son adecuados para ataques laterales a otros sistemas que pueden conducir al robo de datos o ataques de ransomware, por ejemplo. El uso de estos dispositivos en la cadena de suministro de una empresa también representa una amenaza, ya que incluso si una empresa tiene estrictas políticas y controles de DPI, puede darse el caso de que sus proveedores no los tengan.

Esta situación pone de manifiesto el problema al que se enfrentan las empresas a la hora de responder mejor a los ciberriesgos, que afectan tanto a la organización como a terceros, cuando los recursos y los costes siguen siendo limitados.

Potentes funciones de gestión de riesgos cibernéticos

Las nuevas capacidades tecnológicas están animando a los equipos de seguridad a replantearse la mejor forma de afrontar este tipo de retos. Ahora pueden ofrecer una forma alternativa de gestionar los riesgos cibernéticos, poniendo la aplicación y el seguimiento de la política de seguridad de una empresa en manos de los usuarios finales y sus responsables, en lugar de limitarse a un pequeño -y sobrecargado- equipo de seguridad.

Un enfoque basado en SaaS significa que los equipos de seguridad pueden ofrecer una biblioteca de documentos de políticas de seguridad de fácil navegación, con potentes funciones de búsqueda y preguntas y respuestas que permiten a los empleados comprender sus obligaciones a un ritmo que se adapte a ellos y a sus proyectos. Las funciones de formación y comprobación ayudan a mejorar los conocimientos y la concienciación de los empleados sobre las amenazas a la seguridad nuevas y emergentes. Las funciones de certificación les permiten documentar y aportar pruebas del cumplimiento de las normas de seguridad. Las capacidades de IA permiten a los equipos de seguridad de la información saber dónde no se cumplen las normas, a medida que cambian las necesidades específicas de la empresa.

Este enfoque permite a los equipos de seguridad de la información orientar mejor a la organización y a terceros sobre su política de ciberseguridad a un ritmo que todos puedan gestionar. También significa que el equipo de seguridad de la información puede seguir siendo el árbitro final del programa de gestión de riesgos cibernéticos.

La plataforma GRC de Mitratech ofrece una gama de capacidades que cubren casos de uso GRC clave como: Gestión de Riesgos Cibernéticos, Gestión de Riesgos de Terceros, Seguridad de la Información y muchos más.

Eche un vistazo a esta cuidada selección de piezas de contenido que pretenden mostrar cómo Mitratech puede ayudar a las organizaciones a impulsar sus programas de ciberseguridad.

  • Consulte nuestro Folleto: Gestión de riesgos cibernéticos para obtener una visión completa de las acciones clave para crear un programa de gestión de riesgos cibernéticos de éxito a lo largo de su ciclo de vida.
  • Además, eche un vistazo a nuestro Folleto: Ciberresiliencia para obtener más información sobre las funcionalidades integradas de extremo a extremo disponibles en la plataforma GRC de Mitratech.

Informe RegTech

Este podcast es la fuente a la que acudir para todo lo relacionado con RegTech, incluyendo
Noticias sobre RegTech, conexión con pioneros del sector y actualizaciones sobre las últimas tecnologías.