Blog Post

Cómo COBIT 5 puede ayudar a reducir el riesgo e impacto del Top 5 de las amenazas cibernéticas

2017 ha sido el año en que se han registrado más infracciones cibernéticas, con impactos que repercuten en los negocios y vida personal.

¿Son estas amenazas demasiado grandes para ser gestionadas? ¿Son las amenazas cibernéticas el elefante en la sala?

La resistencia cibernética necesita estar en la agenda del consejo; sin embargo, muchos directorios aún prefieren gestionar el riesgo con el algoritmo de avestruz, esperando que realmente funcione. A esto se le suma el hecho de que los presupuestos de seguridad continúan creciendo, mientras que las respuestas a cuánto y qué objetivos, están al margen.

El truco está en evaluar las causas, cómo y dónde se manifiestan, para luego definir los impactos y resultados antes de elegir los controles adecuados. Siendo, en teoría, una pesadilla durante la práctica porque ahora no está controlado directamente por nuestras organizaciones. Inicialmente, se hizo mención a los riesgos debido a nuestra capacidad para identificarlos, evaluarlos y controlarlos, puesto que eran principalmente de origen interno. Sin embargo, siguen y necesitan aún ser gestionados, considerando que también tenemos una serie de problemas externos que no pueden ser controlados en cuanto a su origen, es decir, cuándo, dónde, cómo, quién. El juego ha cambiado de Riesgo (interno) a gestión de amenazas (externas).

Así mismo, es difícil enfrentar las amenazas cibernéticas, ya que al inicio los problemas surgen en los detalles, los cuales son numerosos y variados para que el liderazgo pueda apreciar su magnitud. Cualquier esperanza de éxito requiere un marco para mantenernos en el camino correcto y para eso está COBIT 5.

La “transformación de la seguridad cibernética” se suma a la familia de COBIT 5 y proporciona una vista de alto nivel sobre las amenazas cibernéticas mapeadas en “Seguridad de la Información en COBIT 5”. Por otro lado, a medida que las amenazas cibernéticas se alimentan de vulnerabilidades tradicionales, las organizaciones todavía necesitan un marco más amplio para garantizar una cobertura de 360 ​​°. Los “Riesgos en COBIT 5”, Apéndice B, proporciona un conjunto completo de las prácticas que cubren tanto los aspectos técnicos y habilidades blandas. La “Garantía en COBIT 5” proporciona los medios para identificar debilidades. “Seguridad de la Información en COBIT 5” identifica los controles necesarios para proteger los sistemas.

Para que podamos:

  • Averiguar dónde buscar vulnerabilidades, humanas y técnicas (ver Garantía en COBIT 5, secciones B4-7).
  • Entender por qué existen esas vulnerabilidades (ver Garantía en COBIT 5, Apéndice D2; Riesgo en COBIT 5, Apéndice B, MEA01).
  • Identificar causa y efecto para ayudar a entender las ventajas y desventajas que existen en todas las empresas, puesto que los recursos no son ilimitados (Riesgo en COBIT 5, Apéndice B, AP008).
  • Evaluar la seguridad técnica de comportamiento y control (COBIT 5 para la Seguridad de la Información, Apéndices D-G).

Las amenazas provienen del nivel 3 de “Comunicaciones”, ya que representan los ataques a la comunidad de negocios. A continuación, un resumen, en caso se aplique COBIT 5:

  1. Ataques en la capa de red y aplicación

Causas: Herramientas de DDoS disponibles; lugares desconocidos y número de interrupciones con paciencia ilimitada; controles sobre componentes de hardware y software no mantenidos.

Impactos: interrupciones del servidor y red; potencial para que un ataque de ‘piggy back’ ocurra en otra parte.

Resultados: el negocio se detiene; costo de oportunidad para resolver el ataque y reconstruir la confianza de la cadena de suministro.

Controles: es muy difícil detener un ataque, por lo que la empresa debe contar con un sólido sistema interno de detección, monitoreo y procedimientos correctivos, además de la habilidad de expresar sus sospechas y la agilidad para responder.

  1. Ingeniería Social

Causas: comunicación falsa; personal vulnerable; gobierno débil, prácticas de comportamiento y seguridad.

Impactos: acceso a información crítica; robo; el acceso físico y virtual disponible para los extraños.

Resultados: pérdida de ventaja competitiva; falta de confianza de la cadena de suministro; baja reputación; incumplimientos normativos; integridad de todos los demás datos.

Controles: muchos serán controles suaves de habilidades tales como el entrenamiento de ingeniería antisocial en todos los niveles y gestión de apoyo del personal; tarjeta de sonido /comportamiento alineadas a las políticas de cumplimiento; que permite a cualquier persona decir lo que piensa. Los controles técnicos son tal y como se mencionaron anteriormente.

  1. Amenazas persistentes y avanzadas

Causas: aprovechamiento de vulnerabilidades para crear “backdoors”’ en los sistemas.

Impactos: credenciales, datos consultados y tomados sin interrupción, no hay manera de saber hace cuánto tiempo ha estado sucediendo.

Resultados: 2.

Controles: 1.

  1. Crimen organizado

Causas: capacidad de aplicar amenazas 1 de 3.

Impactos: Las víctimas no sólo es la organización, sino también la cadena de suministro, clientes y, posiblemente, sus familias y bancos.

Resultados: la propiedad intelectual y sus datos están ahora bajo el control de los criminales; lo que lleva a más datos disponibles en el mercado negro; rescate y chantaje.

Controles: colaborar con la policía para asegurar las pruebas; con los abogados para evaluar la responsabilidad legal; así como, establecimiento de políticas y prácticas de comunicación para su uso con los medios.

  1. Filtración de información

Causas: todo lo anterior.

Impactos: datos expuestos; interrupción del negocio.

Resultados: pérdida de confianza; altos costos operativos de recuperación y reputación.

Controles: como para 1 de 4.

En resumen, si queremos centrarnos en las amenazas cibernéticas:

  • Comience con “La transformación de la seguridad cibernética” y aplique los aspectos relevantes de COBIT 5 Seguridad de la Información.
  • Para un plan de evaluación de 360 °, la garantía y plan de acción se debe ampliar para incluir el Riesgo y aseguramiento de COBIT 5.
  • La revisión final es ver cómo la identificación, control y gestión de las amenazas son compatible con los objetivos generales de la organización – los habilitadores de COBIT 5 permiten que una organización prospere – ya sea, tener alta calidad para orientar al cliente a una cultura de servicio, aumentar el valor de las partes interesadas mediante una mayor eficacia y eficiencia (fuente:COBIT 5 habilitadores). Además, considerar que, al controlar sólo una amenaza, el riesgo e impacto también se reducen.

Related Posts