¿Qué es la ciberseguridad?

Es lo que las organizaciones hacen para proteger sus propios datos y los de sus clientes de los ataques maliciosos.

Datos instantáneos. Internet no siempre es un espacio seguro. Los ciberataques están en aumento y no hay indicios de que se detengan pronto.

Como resultado de este aumento, todo el mundo está en alerta roja: los consumidores están prestando más atención a dónde van sus datos; los gobiernos están poniendo en marcha regulaciones para proteger a sus poblaciones; y las organizaciones están gastando más tiempo, energía y dinero para proteger sus operaciones contra el delito cibernético.

Para las organizaciones, la creciente conciencia del riesgo cibernético, por parte de los consumidores y los reguladores por igual, no tiene por qué ser un problema.  De hecho, el clima actual podría presentar a los líderes inteligentes una oportunidad de crecimiento significativa. La investigación de McKinsey indica que las organizaciones mejor posicionadas para construir confianza digital tienen más probabilidades que otras de ver un crecimiento anual de al menos el 10 por ciento.

¿Cuál es el estado actual de la ciberseguridad para los consumidores, los reguladores y las organizaciones? ¿Y cómo pueden las organizaciones convertir los riesgos en recompensas?

¿Qué es un ciberataque?

Antes de saber cómo las organizaciones y los individuos pueden protegerse a sí mismos, comencemos con contra lo que se están protegiendo a sí mismos.

 ¿Qué es un ciberataque?

Estos son algunos de los más comunes:

• El malware es software malicioso, incluyendo spyware, ransomware y virus. Accede a una red a través de una debilidad, por ejemplo, cuando un miembro de la red hace clic en un enlace fraudulento o en un archivo adjunto de correo electrónico. Una vez que el malware controla un sistema, puede exigir el pago a cambio de acceso a ese sistema (ransomware), transmitir de forma encubierta información de la red (spyware) o instalar software dañino adicional en la red. En 2021, los ataques de ransomware por sí solos aumentaron en un 105%.

• El phishing implica que un empostor envíe un mensaje fraudulento que parece venir de una fuente legítima, como un banco o una empresa, o de alguien con el número equivocado. Los ataques de phishing se realizan a través de correo electrónico, mensajes de texto o redes sociales. Por lo general, el objetivo es robar información instalando malware o conductando a la víctima para que divulgue datos personales.

• Los ataques de hombre en el medio son incidentes en los que un atacante se interpone entre dos miembros de una transacción para espiar información personal. Estos ataques son particularmente comunes en las redes Wi-Fi públicas, que se pueden hackear fácilmente.

• Los ataques de denegación de servicio inundan los sistemas con tráfico para obstruir el ancho de banda para que no puedan cumplir con las solicitudes legítimas. El objetivo de este tipo de ataque es apagar los sistemas.

• Los ataques con contraseña son montados por ciberdelincuentes que intentan robar contraseñas mediante conjeturas o engaños.

Las personas y las empresas pueden protegerse contra los ciberataques de varias maneras, desde contraseñas hasta bloqueos físicos en los discos duros. La seguridad de la red protege una red informática por cable o inalámbrica de los intrusos. La seguridad de la información, como las medidas de protección de datos en el Reglamento General de Protección de Datos (RGPD) de Europa, protege los datos confidenciales del acceso no autorizado. Hay muchos más tipos de ciberseguridad, incluyendo software antivirus y cortafuegos. La ciberseguridad es un gran negocio: una empresa de investigación y asesoramiento tecnológico estima que las empresas gastarán más de 188 mil millones de dólares en seguridad de la información en 2023.

El Centro de Quejas de Delitos en Internet de la Oficina Federal de Investigaciones de los Estados Unidos (FBI) informó de un aumento de casi el 50% en los presuntos delitos de Internet en 2020 a partir de 2019. Las pérdidas reportadas superaron los 4.200 millones de dólares.

¿Qué tendencias de ciberseguridad se proyectan en los próximos tres a cinco años?

El riesgo cibernético no es estático y nunca desaparece. Solo adoptando una postura dinámica y con visión de futuro pueden las empresas mantenerse al día con el estado de las cosas y mitigar las interrupciones en el futuro. Estas tres principales tendencias de ciberseguridad pueden tener las mayores implicaciones para las organizaciones:

1. El acceso bajo demanda a plataformas de datos e información ubicuas está creciendo. Los cambios recientes hacia las plataformas móviles y el trabajo remoto requieren acceso de alta velocidad a conjuntos de datos grandes y ubicuos. Esta dependencia exacerba la probabilidad de una violación. Las organizaciones recopilan más datos que nunca sobre sus clientes, por lo que tal violación podría ser especialmente costosa. Para almacenar, gestionar y proteger los datos, las organizaciones necesitan nuevas plataformas tecnológicas.

2. Los hackers utilizan la IA, el aprendizaje automático y otras tecnologías para lanzar ataques cada vez más sofisticados. Atrás quedaron los días en que el hacker con una sudadera con capucha trabajaba solo en una habitación con tonos oscuros. Hoy en día, la piratería es una industria multimillonaria, completa con jerarquías institucionales y presupuestos de I+D. Los atacantes que utilizan herramientas avanzadas como la IA, la automatización y el aprendizaje automático reducirán el ciclo de vida de extremo a extremo de un ataque de semanas a días o incluso horas. Otras tecnologías y capacidades están haciendo que las formas conocidas de ataques, como el ransomware y el phishing, sean más fáciles de montar y más comunes.

3. El creciente panorama regulatorio y las continuas brechas en recursos, conocimiento y talento significan que las organizaciones deben evolucionar y adaptar continuamente su enfoque de ciberseguridad. Muchas organizaciones no tienen suficiente conocimiento, talento y experiencia en ciberseguridad. El déficit está creciendo a medida que los reguladores aumentan su supervisión de la ciberseguridad en las corporaciones.

Estas son las tres tendencias de ciberseguridad que McKinsey predice para los próximos años. Más adelante en esta explicación, aprenderás cómo las organizaciones pueden mantenerse a la vanguardia.

¿Cómo se acercan los reguladores a la ciberseguridad?

A medida que los ciberataques de alto perfil catapultan la seguridad de los datos al centro de atención internacional, los responsables políticos están prestando mayor atención a la forma en que las organizaciones gestionan los datos del público.

En los Estados Unidos, el gobierno federal y al menos 45 estados y Puerto Rico han presentado o considerado más de 250 proyectos de ley o resoluciones que se ocupan de la ciberseguridad. En Europa, el Reglamento General de Protección de Datos impone multas de hasta el 4% de la facturación mundial a las empresas que no protegen los datos de sus clientes.

¿Cómo pueden prepararse las organizaciones para las nuevas regulaciones cibernéticas?

Algunos de los compromisos más significativos de los servicios o la información esenciales en los últimos años han implicado ataques contra grandes empresas estadounidenses. En 2021, el FBI recibió el mayor número de quejas de delitos cibernéticos y reportó pérdidas totales en la historia: casi 850.000 quejas, lo que refleja más de 6.900 millones de dólares en pérdidas. La nueva legislación influirá en la forma en que las empresas denuncian y divulgan la ciberdelincuencia y en cómo rigen sus esfuerzos para combatirla.

Hay tres pasos que las organizaciones pueden seguir para ayudar a prepararse para las nuevas regulaciones.

1. Preparación. Las empresas pueden aumentar su preparación para los ciberataques comprobando su capacidad para detectarlos e identificarlos y creando procesos de presentación de informes claros. Los procesos existentes deben probarse y perfeccionarse a través de ejercicios de simulación.

2. Respuesta. Las empresas pueden mejorar su respuesta a los ciberataques mejorando su capacidad para identificarlos, contener, erradicar y recuperarse de ellos. Pueden, por ejemplo, establecer centros nerviosos de crisis, contratar a expertos externos para verificar sus planes e implementar protocolos para utilizar soporte y servicios alternativos durante un ataque.

3. Remediación. Después de una crisis, las empresas pueden reflexionar sobre las lecciones aprendidas y aplicarlas a mejores estrategias para una mayor resiliencia.

¿Cómo pueden ayudar los proveedores de tecnología y servicios de ciberseguridad?

Los ciberataques están en camino de causar 10,5 billones de dólares al año en daños para 2025. Eso es un aumento del 300% con respecto a los niveles de 2015. Para protegerse contra el ataque, las organizaciones de todo el mundo gastaron alrededor de 150 000 millones de dólares en ciberseguridad en 2021, y esta suma está creciendo un 12,4% al año. Pero incluso eso probablemente no sea suficiente: se prevé que los volúmenes de amenazas aumenten en los próximos años.

La brecha entre el mercado actual y el mercado total direccionable es enorme; solo el 10% del mercado de soluciones de seguridad ha sido penetrado actualmente. La oportunidad total es de un asombroso entre 1,5 y 2 billones de dólares.

Dadas las tendencias actuales, los proveedores de ciberseguridad pueden centrarse en cuatro áreas clave:

• Tecnologías en la nube. En un futuro previsible, la migración a la nube seguirá dominando las estrategias tecnológicas de muchas organizaciones. Por lo tanto, los proveedores deberían ser capaces de proteger las configuraciones de nube tanto generales como especializadas.

• Mecanismos de fijación de precios. La mayoría de las soluciones cibernéticas actualmente en el mercado no están dirigidas a pequeñas y medianas empresas. Los proveedores de ciberseguridad pueden capturar este mercado creando productos adaptados a él.

• Inteligencia artificial. Hay un enorme potencial para la IA innovadora y el aprendizaje automático en el espacio de la ciberseguridad. Pero los operadores luchan por confiar en las plataformas y productos de ciberdefensa inteligentes y autónomos. En su lugar, los proveedores deberían desarrollar productos de IA y aprendizaje automático que hagan que los analistas humanos sean más eficientes.

• Servicios gestionados. Se prevé que la demanda de ofertas de servicio completo aumente hasta en un 10% anual durante los próximos tres años. Los proveedores deben desarrollar ofertas combinadas que incluyan casos de uso de botones calientes. Y deberían centrarse en los resultados, no en la tecnología

¿Qué es el ransomware? ¿Qué tipo de daño puede hacer?

El malware que manipula los datos de una víctima y los retiene como rescate al cifrarlos es ransomware. En los últimos años, ha alcanzado un nuevo nivel de sofisticación, y las demandas de pago se han disparado a decenas de millones de dólares. Las operaciones de "aplastar y agarrar" del pasado se han transformado en un juego largo: los hackers acechan sin ser detectados dentro de los entornos de sus víctimas para encontrar la información y los datos más valiosos. Y se predice que la situación solo empeorará: la organización de investigación de mercado y la editorial de la revista Cybercrime Magazine Cybersecurity Ventures estima que el costo del ransomware podría alcanzar los 265 mil millones de dólares para 2031. Estos son algunos de los costos específicos a los que se han enfrentado las empresas como resultado de los ataques de ransomware:

• Colonial Pipeline pagó un rescate de 4,4 millones de dólares después de que la compañía cerrara sus operaciones.

• El productor mundial de carne JBS pagó 11 millones de dólares.

• El proveedor global de seguros CNA Financial pagó 40 millones de dólares.

• Un ataque de ransomware contra el proveedor de software estadounidense Kaseya se dirigió a su herramienta de gestión remota de computadoras y puso en peligro a hasta 2000 empresas de todo el mundo.

Estas cifras no incluyen costos como los pagos a terceros, por ejemplo, la ley, las relaciones públicas y las empresas de negociación. Tampoco incluyen los costos de oportunidad de que los ejecutivos y los equipos especializados se alejen de sus funciones diarias durante semanas o meses para hacer frente a un ataque o a la pérdida de ingresos resultantes.

¿Qué pueden hacer las organizaciones para mitigar las futuras ciberamenazas?

Los gerentes de ciberseguridad deben considerar las siguientes capacidades, que deben ajustarse a los contextos únicos de las empresas individuales.

• Arquitectura de confianza cero (ZTA). En este diseño del sistema de seguridad, todas las entidades, dentro y fuera de la red informática de la organización, no son de confianza de forma predeterminada y deben demostrar su fiabilidad. ZTA cambia el enfoque de la ciberdefensa lejos de los perímetros estáticos alrededor de las redes físicas hacia los usuarios, los activos y los recursos, mitigando así el riesgo de los datos descentralizados.

• Análisis del comportamiento. Estas herramientas pueden monitorear las solicitudes de acceso de los empleados o el estado de los dispositivos e identificar el comportamiento anormal del usuario o la actividad del dispositivo.

• Monitoreo de registro elástico para grandes conjuntos de datos. Gracias a los avances en el big data y el Internet de las cosas (IoT), los conjuntos de datos son más grandes que nunca. El gran volumen de datos que deben ser monitoreados hace que hacer un seguimiento de quién está accediendo a ellos sea aún más difícil. El monitoreo de registros elásticos permite a las empresas extraer datos de registro de cualquier lugar de la organización a una sola ubicación y luego buscarlos, analizarlos y visualizarlos en tiempo real.

• Cifrado homomórfico. Este método permite a los usuarios trabajar con datos cifrados sin descifrarlos primero, dando así a terceros y otros colaboradores acceso seguro a grandes conjuntos de datos.

• Automatización basada en el riesgo. A medida que aumentan los niveles de digitalización, las organizaciones pueden utilizar la automatización para manejar procesos de menor riesgo y de memoria, liberando otros recursos para actividades de mayor valor.

• IA defensiva y aprendizaje automático para la ciberseguridad. Dado que los ciberatacantes están adoptando la IA y el aprendizaje automático, los equipos de ciberseguridad deben ampliar las mismas tecnologías. Las organizaciones pueden usarlos para detectar y arreglar sistemas de seguridad que no cumplen con los requisitos.

• Respuestas técnicas y organizativas al ransomware. A medida que aumenta la sofisticación, la frecuencia y el alcance del ransomware, las organizaciones deben mantenerse al día.

• Desarrollo de software seguro. Las empresas deben intraer la ciberseguridad en el diseño del software desde el principio. Los equipos de riesgo de seguridad y tecnología deben interactuar con los desarrolladores a lo largo de cada etapa del desarrollo. Los equipos de seguridad también deberían adoptar enfoques más sistemáticos de los problemas, incluidos los ágiles y kanban.

• Infraestructura y seguridad como código. La estandarización y codificación de los procesos de infraestructura e ingeniería de control puede simplificar la gestión de entornos complejos y aumentar la resistencia de un sistema.

• La lista de materiales del software. A medida que crecen los requisitos de cumplimiento, las organizaciones pueden mitigar la carga administrativa detallando formalmente todos los componentes y las relaciones de la cadena de suministro utilizadas en el software. Este enfoque también ayuda a garantizar que los equipos de seguridad estén preparados para las consultas regulatorias.

¿Cómo puede un programa de "campeones de la seguridad" promover una cultura de ciberseguridad interna más fuerte?

Una organización es tan buena como su gente, y su seguridad es tan fuerte como su comprensión de por qué la seguridad es importante. McKinsey habló con MongoDB, una empresa de desarrollo de plataformas de datos, sobre cómo estableció un programa de campeones de la seguridad para ayudar a sus empleados a hacer de la seguridad una prioridad.

Para crear conciencia sobre los problemas de seguridad y crear una cultura de seguridad sólida, MongoDB reinició su programa de campeones de seguridad durante la pandemia. A partir de octubre de 2022, el programa había organizado más de 20 eventos, reuniendo a los empleados para aprender sobre la seguridad a través de la planificación de escenarios y para participar en actividades de formación de equipos, como la captura de la bandera.

El objetivo de MongoDB es que el 10 por ciento de sus empleados participen en el programa de campeones de la seguridad. Los participantes se prometen darle unas horas cada semana y luego servir como embajadores de seguridad para sus equipos y departamentos. Los líderes de la compañía también ven el programa como un vehículo para la capacitación porque ayuda a mejorar las habilidades de los empleados, que luego pueden tomar posiciones en los equipos de seguridad y cumplimiento. "Esto es genial", dice la directora de seguridad de la información de MongoDB, Lena Smart, "en un momento en el que es bastante difícil encontrar talento experto [de ciberseguridad]".

¿Cómo sabe la empresa que el programa está funcionando? "Nos esformamos de las tendencias a lo largo del tiempo", dice Felix Chen, analista senior de educación y defensa de ciberseguridad en MongoDB. "Por ejemplo, en nuestras campañas de simulación de suplantación de identidad, miramos cuántas personas han hecho clic en un enlace de suplantación de identidad. Anotamos la asistencia al evento y las vulnerabilidades reportadas. Y, lo que es más importante, comunicamos nuestro progreso con el liderazgo”.

¿Cómo puede el talento de ciberseguridad ayudar a mitigar el riesgo cibernético?

Los controles y capacidades técnicas son, y siempre serán, necesarios para asegurar el entorno de cualquier organización. Pero estará aún mejor posicionado para reducir su exposición al riesgo de ciberseguridad si adopta un nuevo enfoque para contratar talento de ciberseguridad. Ese enfoque se centra en la planificación previa y la comprensión holística de las necesidades de ciberseguridad. Contratar trabajadores de ciberseguridad no es fácil, especialmente dada la escasez mundial de trabajadores cualificados: según un estudio de 2022, hay una brecha de mano de obra de ciberseguridad de 3,4 millones.

Una forma de abordar el problema es el enfoque de protección del talento al valor. Usando este enfoque, los líderes definen los roles que reducen la mayor cantidad de riesgo o crean el mayor valor de seguridad. Las funciones identificadas como prioridades deben cubrirse lo antes posible. Este enfoque permite a las organizaciones contratar a las personas adecuadas en los momentos adecuados, asegurando que el gasto en personal esté alineado con las aspiraciones de crecimiento.

Aquí hay tres pasos para implementar la protección del talento al valor:

1. Identificar las actividades de ciberseguridad más importantes dadas las necesidades de la organización, así como los riesgos más apremiantes que deben mitigarse. Estos se pueden determinar a través del modelado de riesgos y la clasificación de las posibles vulnerabilidades por el grado de riesgo que plantean.

2. Defina los roles prioritarios que reducen el riesgo de la manera más efectiva.

3. Construya descripciones de puestos de trabajo para estos roles prioritarios y determine si la mejora de las habilidades o la contratación es la mejor manera de cubrir cada uno de ellos.

Fuente: Mckinsey & Company, What is cybersecurity?