que paso con spei

¿Qué nos depara este año 2020 en temas de Ciberseguridad?

Por José Luis Ponce González, CISM/CRISC/CISSP/CCC-PCSM

Responsable de Ciberseguridad IKUSI LATAM

El 2019 fue un año de muchos retos para todas las industrias en términos de ciberseguridad, ya que se presentaron situaciones en muchas de las corporaciones a nivel global, pero en especial en México y Latinoamérica, lo que nos da pauta a reflexionar sobre las áreas de oportunidad en las cuales necesitamos trabajar de manera efectiva para evitar riesgos potenciales.

Se presentaron recortes presupuestales a nivel general dejando a un lado las inversiones para mejorar los controles de ciberseguridad; hubo una falta de gestión de controles mínimos de seguridad de la información, la cual provocó paros no programados en los procesos críticos del negocio dentro de las organizaciones.

La gestión deficiente de cuentas administrativas impulsó una tendencia al alza en fraudes digitales, por carecer de visibilidad de quien accede o modifica información en sistemas críticos del negocio para actuar de manera efectiva en caso de presentarse alguna situación de riesgo.

En el ámbito regulatorio, existieron impactos monetarios como consecuencia de multas aplicadas a las empresas por deficiencias o no cumplimientos en la aplicación de los controles requeridos, ya que no aseguraban un resguardo y manejo de información adecuado en los sistemas de transferencias electrónicas.

En relación a las iniciativas de transformación digital, no se consideraron los riesgos de ciberseguridad al momento de crear o interconectar infraestructura a nuevas plataformas colaborativas para generar negocios más ágiles entre proveedores y clientes. Y no podemos olvidar la falta de comunicación entre los responsables de IT y OT en dichas iniciativas, generando esfuerzos con objetivos diferentes o aislados para un mismo proyecto.

Nuevo año, nuevo enfoque de Ciberseguridad en las Organizaciones.

Este 2020 está comenzando con un nuevo dinamismo, ya que el interés por parte de las corporaciones en México y Latinoamérica va en aumento en temas de ciberseguridad debido a todos los sucesos ocurridos en 2019, ya que se demostró que nadie está exento de que se presente alguna situación que comprometa la continuidad de su negocio.

La creación de una estrategia de Ciberseguridad es importante, sin embargo, es necesario que los líderes y responsables de las iniciativas de ciberseguridad dentro de las organizaciones, inicien su plan con una base sólida en el conocimiento de los procesos críticos de negocio, e identifiquen los riesgos de no contar con los controles de seguridad necesarios para cuantificar adecuadamente el impacto, con la finalidad de poder fundamentar y desarrollar dicha estrategia con enfoque de negocio.

A continuación, mencionamos algunos aspectos importantes que toda organización debe de tener en cuenta para desarrollar una estrategia efectiva de Ciberseguridad:

  • Desarrollar proyectos o iniciativas de ciberseguridad basados en criterios de inversión versus impacto a los procesos o infraestructuras principales que soportan el negocio para su correcta justificación.
  • Poseer planes de recuperación para hacer frente a alguna contingencia, ante el alza en las tendencias de amenazas avanzadas, así como un plan de ejecución para validar su efectividad.
  • Mantener controles de ciberseguridad robustos en el manejo de la información en ambientes híbridos (on-premise/nube) tales como: inventario de activos, clasificación de información, administración de cuentas y accesos, mecanismos de confidencialidad de la información aplicando cifrado, visibilidad de las actividades y eventos, por mencionar algunos.
  • Asegurar el cumplimiento de regulaciones a las cuales estan sujetas las corporaciones que intentan ingresar a los negocios digitales para transformarse y ser más competitivos. Para el caso de México, por ejemplo, podemos identificar las siguientes: el Anexo 28 del SAT, CNBV, Protección de Datos Personales, GDRP, PCI DSS, Ley Fintech.
  • Crear un plan de convergencia, divido en diferentes fases de maduración de ambientes de OT con ambientes de IT, en conjunto con los responsables de seguridad para lograr una cultura de transformación digital segura; como primer paso, se podrían identificar procesos comunes que pueden aplicar en OT como en IT, por ejemplo, Gestión de Inventarios, Gestión de Cambios, Gestión de Eventos, etc., con la finalidad de empezar con una sinergia natural de la postura de ciberseguridad.
  • Generar programas de concientización de seguridad de la información más efectivos, con un alcance del programa bien definido, que tenga una distribución geográfica correcta y con mensajes de acuerdo al rol que desempeñan los colaboradores dentro de la organización.
  • Establecer controles tecnológicos y de procesos para mejorar la postura de ciberseguridad, a través de modelos como Zero Trust y CIS Controls. De igual manera se pueden implementar procesos basados en marcos de referencia tipo NIST y/o MITRE ATT&CK , para brindar una mejor y más rápida respuesta a incidentes de seguridad.
  • Asegurar en forma continua, que las aplicaciones que demanda el negocio sean construidas de manera segura desde su diseño inicial, para minimizar el riesgo de vulnerabilidades que impacte información sensitiva de los clientes y de la organización.

Aunado a lo anterior, también es de suma importancia considerar que para hacer frente a los nuevos retos de ciberseguridad que se estarán presentando en el corto y mediano plazo, es necesario empezar a reforzar los vínculos de colaboración y comunicación entre la iniciativa privada, entidades gubernamentales y educativas para hacer un frente común de ciberseguridad en este año 2020, que nos permita crear una base sólida de conciencia para minimizar los riesgos en la industria.

Es por eso que en IKUSI nos estamos enfocando en acompañar a las organizaciones a crear una experiencia de servicios inteligentes de ciberseguridad adecuada para su empresa, con la finalidad de enfrentar los retos que se estarán presentando en los nuevos modelos de negocio este 2020.