monsitj - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Ningún negocio está a salvo de los ciberataques, dice KPMG

Las empresas que operan en línea deberían estar trabajando para garantizar la resiliencia operativa, mientras que el sector financiero debería centrarse más en la colaboración, afirma la firma de servicios profesionales KPMG.

Cada organización debe considerar los riesgos cibernéticos que enfrenta y el impacto que podría tener un ataque, según David Ferbrache, director técnico de la práctica de ciberseguridad de KPMG.

"Solo entonces una organización puede evaluar lo que una amenaza cibernética podría significar para su negocio, y tal vez su supervivencia", escribió en una publicación de blog.

Las empresas deberían invertir más tiempo y energía en ciberprotección y resiliencia que nunca antes, en vista de la constante y cambiante amenaza del crimen cibernético, dijo Ferbrache. Pero señaló que muchas empresas están sufriendo de "fatiga cibernética" y centrando la inversión en TI en una variedad de tecnologías emergentes, como el aprendizaje automático, a expensas de la seguridad.

Ferbrache dijo que se requiere un "replanteamiento radical" por parte de la auditoría interna (AI), que generalmente se centra en el mapeo de redes de control como una forma de prevenir el delito cibernético.

"El problema es que esto no siempre refleja la forma en que se cometen los crímenes", dijo. "Es hora de un enfoque diferente".

Describió a los ciberdelincuentes como "empresarios racionales" que buscan un retorno de su inversión en las tácticas y herramientas que utilizan para robar, cometer fraudes y extorsionar dinero. "Una cosa que no hacen es pensar en estructuras de silos organizacionales, y tampoco lo debería hacer el equipo de AI", dijo Ferbrache.

Aunque una combinación de controles tecnológicos y de comportamiento dentro de un marco de gobernanza fuerte pero ágil es un buen enfoque, dijo que muchas organizaciones todavía no logran tener los principios básicos correctos o aplicar sus controles y su gobierno de manera consistente.

"La clave es concentrarse en la resiliencia operativa, concentrándose en las amenazas, evaluando aquello contra lo que la organización está tratando de defenderse, y luego alineando los objetivos de sus distintos niveles de control", dijo Ferbrache.

Desarrollar una verdadera capacidad de resiliencia se basa en comprender cuán interconectados e interdependientes están los diferentes segmentos de la organización, así como los terceros en los que confían, dijo.

"Solo al obtener una visión holística de todo el negocio, los encargados de mantenerlo seguro forman una imagen real de sus puntos débiles y vulnerabilidades”.

"Al comprender la naturaleza contradictoria de las ciberamenazas y la cascada de consecuencias posteriores a los ataques cibernéticos, las organizaciones pueden prepararse para una respuesta rápida y ágil a los ataques, la marca de una organización adecuadamente resiliente".

Ferbrache recomendó que las organizaciones comiencen evaluando en qué etapa se encuentran en la gestión del riesgo cibernético.

"Demasiadas compañías niegan que sea un problema para ellas o tienen una falsa confianza en sus procesos", dijo. "En el otro extremo de la escala, hay empresas preocupadas que desean tanta seguridad como sea posible, sin darse cuenta del impacto en el día a día del negocio. Ninguna de estas posiciones extremas es útil".

KPMG aconseja que las organizaciones deberían:

  • Poner las amenazas cibernéticas que enfrentan en perspectiva al considerar lo que los ciberdelincuentes podrían estar buscando y cómo podrían obtenerlo.
  • Usar escenarios de ataque creíbles para probar la adecuación e integración de los controles.
  • Desarrollar el compromiso de los líderes de la organización para que los controles se apliquen de manera proporcionada en todas las áreas del negocio.
  • Pensar en lo que la organización necesita hacer para sobrevivir y reconstruir después de un ciberataque importante.

En un informe conjunto con el organismo de la industria del Reino Unido, UK Finance, KPMG también está aconsejando a las firmas financieras del Reino Unido para que colaboren más entre sí, con el gobierno y con las fuerzas del orden público para combatir el cibercrimen.

El informe exige un nuevo enfoque para luchar contra el delito cibernético en el sector financiero, destinado a alterar los mercados, herramientas y sistemas cibercriminales.

"Este enfoque les impone un costo a ellos [a los delincuentes] porque luego tienen que reconstruir esa botnet, esos sitios de phishing", dijo Ferbrache a Reuters. "Para nosotros, es un llamado a las armas en toda la comunidad. Hay mucho más que podemos hacer".

Existen grupos como Cyber Defense Alliance, una asociación público-privada con sede en Londres, creada para convertir la información de amenazas en inteligencia procesable, pero es necesario vincular diferentes iniciativas, según los autores del informe Ferbrache y Dan Crisp, director interino de tecnología y política digital en UK Finance.

El informe señaló que el delito cibernético ahora es superado solo por el riesgo político en términos de desafíos que enfrenta el sector financiero, y el ataque al Banco de Bangladesh en 2016, en el que los ciberdelincuentes obtuvieron 81 millones de dólares, muestra la creciente sofisticación de los ataques hacia las empresas financieras, dijo.

Solo los bancos del Reino Unido gastaron 360 millones de dólares en TI en 2016, pero el informe dijo que los enfoques son a menudo lentos y restringidos por la regulación, mientras que los ciberdelincuentes, que pueden operar más allá de las fronteras y la ley, están constantemente actualizando sus métodos.

Esto requiere una respuesta más rápida y colaborativa, según el informe. "En última instancia, el sector financiero como comunidad necesita organizar esto por sí mismo", dijo Ferbrache.

 

 

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close