Advisory, consultoria de negocios, cybersecurity, Grant Thornton
Ciberseguridad ¿conoce los riesgos?
07 Jun 2017

¿Sabía que el año pasado las empresas en el mundo perdieron más de 280 billones de dólares por ataques cibernéticos?

Una de cada cuatro empresas en todo el mundo (21%) se han enfrentado a un ciber-ataque en los últimos 12 meses, según el International Business Report (IBR) de Grant Thornton.

Los empresarios siempre piensan: a mí eso no me va a pasar pero tal vez no se han percatado que no cuentan con una estrategia de seguridad cibernética.  Por ejemplo: actualmente la mayoría de centrales de telefonía, son virtuales, lo que significa que cuentan con un IP. ¿Qué pasaría si un hacker, encuentra su IP y se conecta a su línea telefónica y decide realizar 10 llamadas aleatorias a cualquier lugar del mundo? ¿Lo notaría? Tal vez no. ¿Y si fueran 100 llamadas? Cambiaría la situación. Un ejemplo tan sencillo que podría significar muchos dólares perdidos, sobrecostos innecesarios pero más allá un gran riesgo empresarial.

“No existe un sistema impenetrable, pero lo que existe son sistemas que sean menos vulnerables, es decir, que les cueste mucho más penetrar en tu empresa”, Según José Luis Sarrio, socio de Grant Thornton Perú, muchas empresas en el país son altamente vulnerables, ya que no cuentan con sistemas de seguridad y cualquier hacker podría muy fácilmente penetrar en sus sistemas”.

No existe un enfoque único para la seguridad cibernética, pero las estrategias que funcionan son las que se construyen en torno a tres pilares: personas, procesos y tecnología. Las organizaciones que le enseñan a sus colaboradores a que sean ellos los primeros en la línea de defensa, construyendo una cultura de conciencia de seguridad; implementando los procesos de seguridad adecuados;  usando la tecnología para implementar esos procesos cuando sean necesarios, serán las organizaciones que sufran menos ataques cibernéticos.

"Los ataques cibernéticos son un peligro cada vez más importante para los negocios. Además del costo financiero, ocasionan un daño grave en la reputación si socavan la confianza de los usuarios. A pesar de ello, casi la mitad de las empresas en el mundo carecen de una estrategia para hacer frente a las amenazas cibernéticas”, afirma José Luis Sarrio, Socio de Grant Thornton Perú.

Los delincuentes cibernéticos -ya sean sindicatos criminales globales, estados nacionales o hacktivistas individuales- se están volviendo más sofisticados y más innovadores en los métodos que utilizan. Esto significa que usted puede asumir con seguridad que su negocio será víctima de un ciberataque, tarde o temprano y también puede asumir que alguien, de alguna manera, logrará traspasar sus defensas, no importa lo elaboradas que sean.

Pero ser temeroso e hiper-cauteloso no mejorará la situación. La mejor respuesta es entender cómo se puede preparar para lo inevitable. Adoptando un enfoque pragmático y realista de la ciberseguridad, suponiendo que se producirá una brecha, se puede construir un negocio resiliente que pueda resistir cualquier crisis.

José Luis Sarrio, socio de Grant Thornton explica algunos aspectos que las empresas y sus colaboradores deben tener en cuenta para prevenir estafas informáticas que ponen en jaque los sistemas de la empresa:

1. Nunca dejes de aplicar los parches necesarios en tu sistema operativo, de esta manera se evita la explotación de las vulnerabilidades conocidas del software. Instala los parches de los fabricantes del software luego de su distribución, pues los hackers logran crear rápidamente programas malintencionados utilizando componentes prefabricados para explotar la vulnerabilidad antes de que la mayoría de las personas descargue la corrección.

Una computadora con todos los parches detrás de un firewall es la mejor defensa contra la instalación de Troyanos y programas espías.

2. Descarga la versión más reciente de tu navegador para asegurar que esté totalmente actualizado y utilice las tecnologías más recientes.

3. El origen de un e-mail, la ubicación de una página y el uso del cifrado SSL se pueden falsificar, al igual que los iconos de candado de los navegadores. Debes estar seguro de que se está utilizando el SSL (busque “https:” en la URL) y verificar el nombre de dominio del sitio para saber si el sitio es legítimo. Sin embargo, debido a los trucos de los hackers, no es posible confiar sólo en dichas verificaciones como señales absolutas de seguridad de la comunicación o del sitio.

4. Nunca hagas clic en enlaces dentro de un e-mail y siempre ignora los e-mails que solicitan acciones, tales como “Su cuenta será cerrada”. Ante cualquier duda, llama a la empresa en cuestión a través de un número de teléfono obtenido fuera del e-mail para verificar.

5. Se debe tener cuidado al descargar cualquier software de la Web: los programas espías pueden “venir a cuestas” de programas legítimos, o el software puede contener programas de captura de tecleo o screen scrapers para robar tu información. Por esto es conveniente evitar los salvapantallas gratis y otros regalos. También se debe tener cuidado al abrir adjuntos de e-mail – un vídeo, gráfico o PDF— aunque sea de alguien conocido. Un software de exploración de virus te protegerá, definiendo si hay virus ocultos antes de abrir el adjunto.

6. Utiliza programas que verifiquen automáticamente si una URL es legítima antes de acceder al sitio: también puedes verificar la legitimidad de una URL con una búsqueda por WHOIS, como www.DNSstuff.com, el cual posee una herramienta que exhibe la información de contacto de dominios/IP públicos de cualquier dominio ya registrado.

Es importante que las empresas cuenten con asesoramiento de expertos en seguridad de la información y hackeo ético así como con experiencia en análisis de vulnerabilidades y procedimientos que permitan minimizar el riesgo al que se encuentran expuestas.

“Es conveniente realizar acciones concretas que permitan definir lineamientos orientados a fortalecer el Gobierno de IT, para garantizar transparencia respecto a la gestión de oportunidades y riesgos, y la implementación de un Balanced Scorecard con indicadores IT orientados al negocio que refleje su contribución desde el punto de vista financiero, hacia el cliente, en los procesos internos y como fuente de innovación y aprendizaje para la organización”, finalizó Sarrio.

En ese sentido, los especialistas recomiendan la realización de un proceso de gestión de riesgos ágil, basado en las mejores prácticas, pero con una metodología flexible. Esto es muy importante teniendo en cuenta la evolución tecnológica y los entornos cada vez más dinámicos, cambiantes y competitivos, en los que se desempeñan actualmente las organizaciones, las cual están expuestas al ingreso de nuevos jugadores capaces de redefinir rápidamente las claves del modelo de negocio.

-  Fin  -

Ver reporte completo