La era moderna de la ciberseguridad no solo tiene en alerta a los defensores, sino también a los atacantes. El año 2022 estuvo marcado por la convergencia de tipos y motivos de ataque en un remolino de sabotaje, espionaje y hacktivismo, motivado cada vez más por la geopolítica.
Tanto las empresas privadas como las organizaciones públicas se encuentran entrelazadas en un vínculo de riesgo geopolítico, de ciberseguridad y de cadenas de suministro. Los directores generales que afirman estar expuestos a riesgos geopolíticos están tomando medidas. Casi la mitad afirma estar invirtiendo más en ciberseguridad o privacidad de datos, realizando ajustes en la cadena de suministro para aumentar la seguridad o replanteando dónde ubicar su negocio a medida que las alianzas políticas cambian rápidamente.
El 6º informe anual de PwC, 2022 Year in Retrospect, revela las nuevas tendencias de las ciberamenazas. Esta retrospectiva detallada sobre actores, técnicas y herramientas también apunta al año en curso, aconsejando lo que hay que tener en cuenta en 2023.
El 2022 Year in Retrospect cubre varias tendencias en detalle. Aquí destacamos dos que los directores generales y los consejos de administración deberían comprender.
Los consejos de administración quieren saber: ¿Cuál es nuestra exposición al riesgo de estos acontecimientos? ¿Cuáles de nuestras iniciativas estratégicas y empresariales aumentan esta exposición al riesgo? ¿Nos empujan más allá de nuestro apetito de riesgo? ¿Está actuando la dirección, incluidos el director de seguridad de la información (CISO) y el director de informática (CIO), con la rapidez suficiente para mitigar los riesgos?
Recomendamos que los directores de seguridad de la información y otros ejecutivos de la directiva estén preparados para responder a estas preguntas:
¿Tenemos cubiertos los aspectos básicos? ¿Hemos implementado la seguridad de defensa en profundidad, es decir, tenemos capas de defensa de modo que, si un mecanismo falla, otro se pone en marcha para frustrar el ataque? ¿Incluye una sólida gestión de identidades y accesos, supervisión continua y confianza cero? ¿Nuestro protocolo de escritorio remoto está orientado a Internet? Si es así, ¿lo hemos protegido adecuadamente?
¿Somos resilientes? ¿Conocemos a fondo nuestras dependencias críticas? ¿Hemos mapeado nuestros sistemas? ¿Hacemos copias de seguridad de nuestros sistemas y datos, y podemos acceder a ellos rápidamente?
¿Hemos puesto a prueba nuestros planes de gestión de crisis, recuperación en caso de catástrofe, continuidad de la actividad y gestión de catástrofes? ¿Tenemos un ejecutivo designado para dirigir estos esfuerzos en toda la organización?
¿Hemos previsto las decisiones que tendremos que tomar rápidamente en caso de ataque? ¿En qué circunstancias pagaríamos un rescate, si lo hiciéramos? ¿Disponemos de información sobre los daños potenciales -operativos, financieros, jurídicos, de reputación- para tomar una buena decisión? ¿Está nuestro proceso en consonancia con nuestros valores corporativos?
¿Hemos puesto a prueba nuestro plan de comunicación en caso de ataque? ¿Cómo informamos al consejo de administración y al director general? ¿Cómo y cuándo comunicaríamos un ataque dentro de la organización y a nuestros accionistas?
¿Tenemos un seguro cibernético y es adecuado para cubrir nuestras pérdidas? ¿Qué cubre? ¿Cubre el pago de rescates? ¿Cómo funciona? Si no tenemos seguro cibernético, ¿cuál es nuestro plan para cubrir el costo?
¿Hemos pensado en posibles nuevos conflictos geopolíticos? ¿Consideramos las normas de protección de datos, privacidad y ciberseguridad en un contexto más amplio, por ejemplo, que las naciones podrían estar utilizándolas para mejorar su propia competitividad económica? Cuando nos enfrentamos a una propuesta de ley de protección de datos o a sanciones económicas, ¿queremos seguir haciendo negocios en ese mercado a nuestro nivel actual, o en absoluto? ¿Merece la pena correr el riesgo? ¿Queremos reorganizar nuestra cartera, desplazando parte o toda nuestra atención a otros mercados? ¿Nos preocupa que nuestra propiedad intelectual pueda ser vulnerable? En caso afirmativo, ¿cómo podemos protegerla?
Aumentando sus inversiones en ciberataque y ciberdefensa, ambos bandos afinan continuamente sus equipos, procesos y técnicas cibernéticas, como relata con todo lujo de detalles el 2022 Year in Retrospect. La buena noticia es la siguiente: los defensores ya no somos meras víctimas, sino que ahora podemos hacernos valer y ganar la partida.
¿Es imprescindible para las empresas? La defensa en profundidad unida a la inteligencia sobre amenazas en tiempo real. Los consumidores, los empleados y los inversores cuentan con ello; la confianza de la sociedad depende de ello.
Las organizaciones líderes han utilizado este tiempo para mejorar su resiliencia, pero también su madurez frente al riesgo, de modo que estén listas hoy para aprovechar nuevas oportunidades para el futuro con mayor confianza. Está claro cuán valiosas son las decisiones informadas sobre el riesgo, y que los riesgos ya...
En el 2021, alrededor del 50% de los aplicativos web estaban expuestos al menos a una vulnerabilidad explotable, según un reporte de NTT Application Security, y ante este escenario, surge la interrogante de
En un mundo en el que la norma es equilibrar las prioridades estratégicas que compiten entre sí y los riesgos en constante evolución, los directores ejecutivos y las juntas directivas necesitan la confianza de que los ejecutivos de toda su organización están tomando decisiones coherentes con el apetito por el riesgo.
El modelado y la cuantificación del riesgo no es un tema nuevo para los profesionales del riesgo, pero ha adquirido un nuevo significado y una mayor importancia estratégica a medida que las organizaciones trabajan para anticipar el riesgo para poder actuar con confianza.
