Llegamos a ustedes gracias a:



Reportajes y análisis

Ataques cibernéticos: Resultados de la Encuesta Global de EY 2014

[04/02/2015] Los criminales cibernéticos no se detienen, e incluso se están constituyendo en la principal amenaza para las empresas, de acuerdo a la más reciente Encuesta Global de Seguridad de la Información de la consultora EY.

De acuerdo a este documento, presentado recientemente en Lima, a nivel mundial son los criminales cibernéticos -es decir, gente de afuera- los que constituyen la principal fuente de ataque cibernético para una empresa. Lo particular de este resultado es que en el Perú, los CIO locales siguen considerando que las amenazas son, más bien, internas.

La presentación estuvo a cargo de Elder Cama y Alejandro Magdits, ambos socios de advisory services de EY.

Las cifras de la encuesta

La diferencia entre las percepciones locales y globales no es única, pero sí significativa. A nivel mundial, el 57% considera que la fuente más probable de ataque es el empleado, lo que representa la cifra más alta entre todas las alternativas, aunque seguida de cerca (53%) por los "carteles criminales.

Elder Cama, socio de advisory services de EY.

En el Perú, sin embargo, el empleado se lleva un 90% de las respuestas, mientras que los carteles criminales solo el 7%. Las preocupaciones locales, sin duda, recorren un camino muy diferente.

Otras respuestas en la que se denota una marcada diferencia entre lo local y lo internacional se produce en cuanto a las respuestas "Asociación de hackers y "Hacker solitario. En el primer caso, los CIO locales le dan un mayor peso (54%) que los CIO globales (46%), un comportamiento que se vuelve a producir en el segundo caso con 68% y 41%, respectivamente.

En donde se observa un comportamiento contrario (los globales le dan más peso que los locales) es en la respuesta "Ataque auspiciado por gobiernos, ya que los globales le dan 27%, mientras que los locales solo 5%.

Cama llamó la atención sobre lo que muestran las cifras. El asesor indicó que hoy los crímenes cibernéticos son un negocio ya que los ataques son más organizados, no buscan aprovechar una oportunidad aislada, son fuertemente financiados y son planeados -buscan un objetivo concreto.

Cama hizo también hincapié en que se está produciendo un fenómeno peligroso pues mientras los grupos de atacantes se organizan como negocio y, por tanto, destinan un presupuesto para su 'trabajo'; las organizaciones, de acuerdo a la encuesta, no están destinando el presupuesto necesario para hacer frente a este mayor impulso en la criminalidad.

Al preguntar si el presupuesto designado a la seguridad de la información cambiará en los próximos 12 meses, la mayoría (43%) de las empresas encuestadas a nivel global señalaron que éste permanecería igual. Pero además, el 31% indicó que se reduciría entre 5% y 15%.

A nivel local, las firmas indicaron que mayormente (66%) el presupuesto se reduciría en los rangos antes mencionados, mientras que la segunda opción era que permanecería igual (29%).

Por tanto, sostuvo Cama, ante un aumento en la sofisticación de las amenazas las empresas están destinando el mismo presupuesto o uno incluso menor.

Vulnerabilidades y responsabilidades

La encuesta también preguntó sobre las principales amenazas y vulnerabilidades a las que las organizaciones se sienten expuestas, entendiéndose como amenaza a una potencial acción hostil por parte de actores del entorno externo, mientras que una vulnerabilidad se define como una exposición a la posibilidad de ser atacado.

Entre las principales vulnerabilidades que encontró la encuesta se encuentran los controles obsoletos de la seguridad de la información, los colaboradores imprudentes o poco concientizados, el uso de tecnología nueva y el uso de redes sociales.

Por su parte, entre las principales amenazas se encontraron el robo de información financiera, el robo de propiedad intelectual, el fraude y la suplantación de identidad.

Otra de las preguntas interesantes que se realizaron en la encuesta, se hizo para averiguar a quienes reportan directamente los responsables de la seguridad de la información.

A nivel global y local, la principal respuesta fue al "gerente de tecnologías de información (52% y 49%, respectivamente); aunque también se respondió "al departamento de TI pero no directamente al CIO en varias respuestas (26% y 15%, respectivamente), constituyéndose, de hecho, en la segunda respuesta más usada.

Llama la atención que a nivel local se reporta en varias oportunidades al gerente de operaciones o al propio gerente general (24% en ambos casos), mientras que a nivel global solo el 9% reporta al gerente de operaciones y solo el 14% lo hace al gerente general. Aún existen este tipo de diferencias organizacionales con respecto al exterior.

También es de destacar que se percibe un cierto pesimismo en las organizaciones, ya que al preguntarles por la probabilidad que consideran tienen de detectar un ataque sofisticado, la mayoría respondió que era improbable o muy improbable. El 56% de las organizaciones a nivel global respondieron de esta forma, y el 53% de las organizaciones peruanas también consideran éstas como las respuestas más apropiadas.

Y ¿cuáles son los principales motivos que dificultan la efectividad en la seguridad de la información? La falta de recursos especializados fue la principal respuesta, tanto a nivel global (63%) como local (68%).

"Sin personal calificado en herramientas técnicas y presupuestos adecuados, será difícil para las empresas mejorar su nivel de prevención y mitigación de los riesgos de seguridad de la información, sostuvo Cama.

Como EY afronta este escenario

Luego de la presentación de Cama, Alejandro Magdits presentó la forma en que EY hace frente a este escenario.

Básicamente se propone tres niveles en la madurez de la seguridad cibernética: Activar, Adaptar y Anticipar.

Alejandro Magdits, socio de advisory services de EY.
Alejandro Magdits, EY.

En activar, las organizaciones necesitan contar con una base sólida de seguridad cibernética para proteger los activos de información. Esto comprende un amplio conjunto de medidas de seguridad que proporcionen una defensa básica (pero no exhaustiva) contra los agentes cibernéticos. En esta etapa las organizaciones establecerán sus fundamentos; es decir, "activarán su programa de protección cibernética.

En Adaptar, dado que las organizaciones se encuentran en constante cambio, las bases o fundamentos de la seguridad de la información que aplique deben adaptarse para mantener el ritmo y responder a las necesidades cambiantes del negocio. En este nivel las organizaciones trabajan para mantener la seguridad cibernética al día; es decir, se "adaptan a los nuevos requerimientos del mercado.

Finalmente, en Anticipar, las organizaciones necesitan desarrollar tácticas para detectar posibles ataques cibernéticos. En esta etapa, las organizaciones tienen más confianza en su capacidad para manejar las amenazas más predecibles y ataques inesperados; es decir, se "anticipan a los delitos cibernéticos.