¿Qué es la ciberseguridad?
Es lo que hacen las
organizaciones para proteger sus propios datos y los de sus clientes de ataques
maliciosos.
Datos de actualidad.
Internet no siempre es un espacio seguro. Los ciberataques están en aumento y
no hay indicios de que vayan a detenerse pronto.
Como resultado de este aumento,
todo el mundo está en alerta roja: los consumidores están prestando más
atención a dónde van sus datos, los gobiernos están implementando regulaciones
para proteger a sus poblaciones y las organizaciones están gastando más tiempo,
energía y dinero para proteger sus operaciones contra el ciberdelito.
Para las organizaciones, la
creciente concienciación sobre el riesgo cibernético, tanto por parte de los
consumidores como de los reguladores, no tiene por qué ser un problema. De
hecho, el clima actual podría presentar a los líderes inteligentes una importante
oportunidad de crecimiento. La investigación indica que las organizaciones
mejor posicionadas para generar confianza digital tienen más probabilidades que
otras de ver un crecimiento anual de al
menos el 10 por ciento.
¿Cuál es el estado actual de
la ciberseguridad para los consumidores, los reguladores y las organizaciones?
¿Y cómo pueden las organizaciones convertir los riesgos en recompensas?
¿Qué es un ciberataque?
Antes de aprender cómo pueden
protegerse las organizaciones y las personas, comencemos por saber contra qué
se protegen. ¿Qué es un ciberataque? En pocas palabras, es cualquier ataque
malicioso a un sistema informático, una red o un dispositivo para obtener
acceso a información. Existen muchos tipos diferentes de ciberataques. Estos
son algunos de los más comunes:
El malware es un software
malicioso, que incluye spyware, ransomware y virus. Accede a una red a través
de un punto débil, por ejemplo, cuando un miembro de la red hace clic en un
enlace fraudulento o en un archivo adjunto de correo electrónico. Una vez que
el malware controla un sistema, puede exigir un pago a cambio de acceder a ese
sistema (ransomware), transmitir información de forma encubierta desde la red
(spyware) o instalar software dañino adicional en la red. En 2021, los ataques
de ransomware por sí solos aumentaron un 105 por ciento.
El phishing consiste en que un
malhechor envíe un mensaje fraudulento que parece provenir de una fuente
legítima, como un banco o una empresa, o de alguien con un número de teléfono
incorrecto. Los ataques de phishing se realizan a través del correo electrónico,
mensajes de texto o redes sociales. Por lo general, el objetivo es robar
información instalando malware o persuadiendo a la víctima para que revele sus
datos personales.
Los ataques de intermediario son
incidentes en los que un atacante se interpone entre dos participantes de una
transacción para espiar información personal. Estos ataques son particularmente
comunes en redes Wi-Fi públicas, que pueden ser fácilmente pirateadas.
Los ataques de denegación de
servicio inundan los sistemas con tráfico para saturar el ancho de banda y
evitar que puedan atender solicitudes legítimas. El objetivo de este tipo de
ataque es apagar los sistemas.
Los ataques de contraseñas son
llevados a cabo por cibercriminales que intentan robar contraseñas mediante
conjeturas o engaños.
Las personas y las empresas
pueden protegerse de los ciberataques de diversas formas, desde contraseñas
hasta bloqueos físicos en los discos duros. La seguridad de la red protege una
red informática cableada o inalámbrica de intrusos. La seguridad de la información,
como las medidas de protección de datos del Reglamento General de Protección de
Datos (RGPD) de Europa, protege los datos confidenciales del acceso no
autorizado. Hay muchos más tipos de ciberseguridad, incluidos los programas
antivirus y los cortafuegos. La ciberseguridad es un gran negocio: una empresa
de investigación y asesoramiento tecnológico estima que las empresas gastarán
más de 188 000 millones de dólares en seguridad de la información en 2023.
A pesar de las amplias medidas
que las organizaciones implementan para protegerse, a menudo no son
suficientes. Los cibercriminales están constantemente evolucionando sus métodos
para aprovechar los cambios en los consumidores y las lagunas legales recién
descubiertas. Cuando el mundo cambió apresuradamente al trabajo remoto al
comienzo de la pandemia, por ejemplo, los cibercriminales aprovecharon las
nuevas vulnerabilidades del software para causar estragos en los sistemas
informáticos. El Centro de Denuncias de Delitos en Internet del Buró Federal de
Investigaciones (FBI) de EE. UU. informó un aumento de casi el 50 por ciento en
los delitos sospechosos en Internet en 2020 con respecto a 2019. Las pérdidas
reportadas superaron los $4.2 mil millones.
¿Qué tendencias en
ciberseguridad se proyectan para los próximos tres a cinco años?
El riesgo cibernético no es
estático y nunca desaparece. Solo adoptando una postura dinámica y con visión
de futuro las empresas podrán mantenerse al día con la situación actual y
mitigar las disrupciones en el futuro. Estas tres tendencias principales en
materia de ciberseguridad pueden tener las mayores implicaciones para las
organizaciones:
El acceso a demanda a plataformas
de información y datos omnipresentes está en aumento. Los cambios recientes
hacia plataformas móviles y trabajo remoto requieren acceso de alta velocidad a
grandes conjuntos de datos omnipresentes. Esta dependencia exacerba la
probabilidad de una filtración. Las organizaciones recopilan más datos que
nunca sobre sus clientes, por lo que una filtración de este tipo podría ser
especialmente costosa. Para almacenar, administrar y proteger los datos, las
organizaciones necesitan nuevas plataformas tecnológicas.
Los piratas informáticos utilizan
la inteligencia artificial, el aprendizaje automático y otras tecnologías para
lanzar ataques cada vez más sofisticados. Atrás quedaron los días en que el
pirata informático con capucha trabajaba solo en una habitación con persianas
opacas. Hoy en día, la piratería es una industria multimillonaria, con
jerarquías institucionales y presupuestos de I+D. Los atacantes que utilizan
herramientas avanzadas como la inteligencia artificial, la automatización y el
aprendizaje automático reducirán el ciclo de vida de un ataque de semanas a
días o incluso horas. Otras tecnologías y capacidades están haciendo que las
formas conocidas de ataques, como el ransomware y el phishing, sean más fáciles
de montar y más comunes.
El panorama regulatorio en
expansión y las brechas continuas en recursos, conocimiento y talento
significan que las organizaciones deben evolucionar y adaptar continuamente su
enfoque de ciberseguridad. Muchas organizaciones no tienen suficiente conocimiento,
talento y experiencia en ciberseguridad.
La escasez está creciendo a medida que los reguladores aumentan su monitoreo de
la ciberseguridad en las corporaciones.
Estas son las tres tendencias de
ciberseguridad que McKinsey predice para los próximos años. Más adelante en
este artículo, aprenderá cómo las organizaciones pueden mantenerse a la
vanguardia.
¿Cómo abordan los reguladores
la ciberseguridad?
A medida que los ciberataques de
alto perfil catapultan la seguridad de los datos al centro de la atención
internacional, los responsables de las políticas están prestando cada vez más
atención a la forma en que las organizaciones gestionan los datos públicos. En
los Estados Unidos, el gobierno federal y al menos 45 estados y Puerto Rico han
presentado o considerado más de 250
proyectos de ley o resoluciones que abordan la ciberseguridad. En Europa, el
Reglamento General de Protección de Datos impone multas de hasta el 4 por
ciento de la facturación global a las empresas que no protegen los datos de sus
clientes.
¿Cómo pueden las
organizaciones estadounidenses prepararse para las nuevas regulaciones
cibernéticas?
Algunos de los ataques más
importantes a servicios o información esenciales en los últimos años han sido
contra grandes empresas estadounidenses. En 2021, el FBI recibió el mayor
número de denuncias por delitos cibernéticos y reportó pérdidas totales de la
historia: casi 850.000 denuncias, lo que refleja más de 6.900 millones de
dólares en pérdidas. La nueva legislación influirá en la forma en que las
empresas denuncian y revelan los delitos cibernéticos y en cómo gestionan sus
esfuerzos para combatirlos.
Hay tres pasos que las
organizaciones estadounidenses pueden tomar para ayudar a prepararse para las
nuevas regulaciones.
Preparación. Las empresas
pueden aumentar su preparación ante los ciberataques verificando su capacidad
para detectarlos e identificarlos y creando procesos de notificación claros.
Los procesos existentes deben probarse y perfeccionarse mediante ejercicios de
simulación.
Respuesta. Las empresas
pueden mejorar su respuesta a los ciberataques mejorando su capacidad para
identificarlos, contenerlos, erradicarlos y recuperarse de ellos. Por ejemplo,
pueden establecer centros de crisis, contratar expertos externos para que
verifiquen sus planes e implementar protocolos para utilizar servicios y
soporte alternativos durante un ataque.
Remediación. Después de
una crisis, las empresas pueden reflexionar sobre las lecciones aprendidas y
aplicarlas a mejores estrategias para lograr una mayor resiliencia.
Las empresas pueden aumentar su
preparación ante los ciberataques verificando su capacidad para detectarlos e
identificarlos y creando procesos de informes claros.
¿Cómo pueden ayudar los
proveedores de tecnología y servicios de ciberseguridad?
Se prevé que los ciberataques
causen daños por valor de 10,5 billones de dólares al año en 2025, lo que
supone un aumento del 300 % con respecto a los niveles de 2015. Para protegerse
de esta avalancha, las organizaciones de todo el mundo gastaron alrededor de
150 000 millones de dólares en ciberseguridad en 2021, y esta suma crece un
12,4 % al año. Pero es probable que ni siquiera eso sea suficiente: se prevé
que el volumen de amenazas aumente en los próximos años.
La brecha entre el mercado actual
y el mercado potencial total es enorme; actualmente, solo se ha penetrado en el
10 por ciento del mercado de soluciones de seguridad. La oportunidad total es
de entre 1,5 y 2 billones de dólares .
Dadas las tendencias actuales,
los proveedores de ciberseguridad pueden centrarse en cuatro áreas clave :
Tecnologías en la nube. En
el futuro próximo, la migración a la nube
seguirá dominando las estrategias tecnológicas de muchas organizaciones.
Por lo tanto, los proveedores deberían poder proteger tanto las configuraciones
de nube generales como las especializadas.
Mecanismos de fijación de
precios. La mayoría de las soluciones cibernéticas que existen actualmente
en el mercado no están dirigidas a las pequeñas y medianas empresas. Los
proveedores de ciberseguridad pueden captar este mercado creando productos a
medida.
Inteligencia artificial.
Existe un enorme potencial para la inteligencia artificial y el aprendizaje
automático innovadores en el ámbito de la ciberseguridad, pero los operadores
tienen dificultades para confiar en las plataformas y productos de ciberdefensa
inteligentes y autónomos. En cambio, los proveedores deberían desarrollar
productos de inteligencia artificial y aprendizaje automático que hagan que los
analistas humanos sean más eficientes.
Servicios gestionados. Se prevé
que la demanda de servicios completos aumente hasta un 10 por ciento anual
durante los próximos tres años. Los proveedores deberían desarrollar ofertas
combinadas que incluyan casos prácticos de gran interés y centrarse en los
resultados, no en la tecnología.
Profundicemos en los pasos
específicos que podrían adoptar los proveedores de servicios de ciberseguridad.
¿Qué es el ransomware? ¿Qué
tipo de daños puede causar?
El ransomware es un malware que
manipula los datos de la víctima y los retiene para pedir un rescate mediante
su cifrado. En los últimos años, ha alcanzado un nuevo nivel de sofisticación y
las demandas de pago se han disparado a decenas de millones de dólares. Las
operaciones de “atraco y robo” del pasado se han transformado en un juego a
largo plazo: los piratas informáticos se esconden sin ser detectados en los
entornos de sus víctimas para encontrar la información y los datos más
valiosos. Y se prevé que la situación solo empeore: la organización de
investigación de mercado y editora de Cybercrime Magazine, Cybersecurity
Ventures, estima que el costo del
ransomware podría alcanzar los 265 mil millones de dólares para 2031. Estos son
algunos de los costos específicos que las empresas han enfrentado como
resultado de los ataques de ransomware:
Colonial Pipeline pagó un rescate
de 4,4 millones de dólares después de que la empresa cerrara sus operaciones.
El productor mundial de carne JBS
pagó 11 millones de dólares .
El proveedor global de seguros
CNA Financial pagó aproximadamente 40 millones de dólares .
Un ataque de ransomware contra el
proveedor de software estadounidense Kaseya tuvo como objetivo su herramienta
de gestión remota de computadoras y puso en peligro hasta 2.000 empresas de
todo el mundo.
Estas cifras no incluyen costos
como los pagos a terceros (por ejemplo, firmas de abogados, de relaciones
públicas y de negociación), ni tampoco los costos de oportunidad que implica
que ejecutivos y equipos especializados dejen de lado sus funciones cotidianas
durante semanas o meses para lidiar con un ataque o con la pérdida de ingresos
resultante.
¿Qué pueden hacer las
organizaciones para mitigar futuras ciberamenazas?
Los gerentes de ciberseguridad
deben considerar las siguientes capacidades , que deben ajustarse a los
contextos únicos de cada empresa.
Arquitectura de confianza cero
(ZTA). En este diseño de sistema de seguridad, todas las entidades (dentro
y fuera de la red informática de la organización) no son confiables de manera
predeterminada y deben demostrar su confiabilidad. ZTA desplaza el foco de la
ciberdefensa desde los perímetros estáticos alrededor de las redes físicas
hacia los usuarios, los activos y los recursos, mitigando así el riesgo de los
datos descentralizados.
Análisis de comportamiento.
Estas herramientas pueden monitorear las solicitudes de acceso de los empleados
o el estado de los dispositivos e identificar comportamientos anómalos de los
usuarios o actividades de los dispositivos.
Monitoreo elástico de
registros para grandes conjuntos de datos. Gracias a los avances en big
data y la Internet de las cosas (IoT),
los conjuntos de datos son más grandes que nunca. El gran volumen de datos que
se deben monitorear hace que sea aún más difícil realizar un seguimiento de
quién accede a ellos. El monitoreo elástico de registros permite a las empresas
extraer datos de registros de cualquier parte de la organización en una única
ubicación y luego buscarlos, analizarlos y visualizarlos en tiempo real.
Cifrado homomórfico. Este
método permite a los usuarios trabajar con datos cifrados sin tener que
descifrarlos primero, lo que permite a terceros y a otros colaboradores acceder
de forma segura a grandes conjuntos de datos.
Automatización basada en
riesgos. A medida que aumentan los niveles de digitalización, las
organizaciones pueden utilizar la automatización para gestionar procesos
rutinarios y de menor riesgo, liberando así otros recursos para actividades de
mayor valor.
Inteligencia artificial
defensiva y aprendizaje automático para la ciberseguridad. Dado que los
ciberatacantes están adoptando la inteligencia artificial y el aprendizaje
automático, los equipos de ciberseguridad deben ampliar las mismas tecnologías.
Las organizaciones pueden usarlas para detectar y reparar sistemas de seguridad
que no cumplan con las normas.
Respuestas técnicas y
organizativas al ransomware . A medida que aumenta la sofisticación, la
frecuencia y el alcance del ransomware, las organizaciones deben mantenerse al
día.
Desarrollo de software seguro.
Las empresas deberían incorporar la ciberseguridad en el diseño del software
desde el principio. Los equipos de seguridad y riesgo tecnológico deberían
interactuar con los desarrolladores en cada etapa del desarrollo. Los equipos
de seguridad también deberían adoptar enfoques más sistemáticos para abordar
los problemas, incluidos los enfoques ágiles
y kanban.
Infraestructura y seguridad
como código. La estandarización y codificación de los procesos de
infraestructura e ingeniería de control puede simplificar la gestión de
entornos complejos y aumentar la resiliencia de un sistema.
Lista de materiales del
software. A medida que aumentan los requisitos de cumplimiento, las
organizaciones pueden mitigar la carga administrativa detallando formalmente
todos los componentes y las relaciones de la cadena de suministro que se
utilizan en el software. Este enfoque también ayuda a garantizar que los
equipos de seguridad estén preparados para las consultas regulatorias.
La estandarización y codificación
de los procesos de infraestructura e ingeniería de control simplifican la
gestión de entornos complejos y aumentan la resiliencia de un sistema.
Para obtener más información
sobre cada una de estas capacidades y por qué pueden reforzar las capacidades
de ciberdefensa en el horizonte, lea nuestro artículo sobre tendencias de
ciberseguridad.
¿Cómo puede un programa de
“campeones de la seguridad” promover una cultura de ciberseguridad interna más
fuerte?
Una organización es tan buena
como su gente, y su seguridad es tan sólida como su comprensión de por qué es
importante la seguridad. McKinsey habló con MongoDB, una empresa de desarrollo
de plataformas de datos, sobre cómo estableció un programa de campeones de seguridad
para ayudar a sus empleados a hacer de la seguridad una prioridad máxima.
Para generar conciencia sobre los
problemas de seguridad y crear una cultura de seguridad sólida, MongoDB
reinició su programa de campeones de seguridad durante la pandemia. Hasta
octubre de 2022, el programa había organizado más de 20 eventos, reuniendo a
los empleados para aprender sobre seguridad a través de la planificación de
escenarios y participar en actividades de formación de equipos, como capturar
la bandera.
El objetivo de MongoDB es que el
10 por ciento de sus empleados participen en el programa de campeones de
seguridad. Los participantes se comprometen a dedicarle algunas horas cada
semana y luego servir como embajadores de seguridad para sus equipos y departamentos.
Los líderes de la empresa también ven el programa como un vehículo para la
capacitación porque ayuda a mejorar las habilidades de los empleados, que luego
pueden ocupar puestos en los equipos de seguridad y cumplimiento. "Esto es
genial", dice la directora de seguridad de la información de MongoDB, Lena
Smart , "en un momento en el que es bastante difícil encontrar talento
calificado [en ciberseguridad]".
¿Cómo sabe la empresa que el
programa está funcionando? “Observamos las tendencias a lo largo del
tiempo”, afirma Felix Chen, analista sénior de educación y promoción de la
ciberseguridad en MongoDB. “Por ejemplo, en nuestras campañas de simulación de
phishing, analizamos cuántas personas hicieron clic en un enlace de phishing.
Analizamos la asistencia a eventos y las vulnerabilidades denunciadas. Y, lo
que es más importante, comunicamos nuestro progreso a la dirección”.
¿Cómo puede el talento en
ciberseguridad ayudar a mitigar el riesgo cibernético?
Los controles y capacidades
técnicas son, y siempre serán, necesarios para proteger el entorno de cualquier
organización. Pero estará aún mejor posicionada para reducir su exposición al
riesgo de ciberseguridad si adopta un nuevo enfoque para contratar talento en
materia de ciberseguridad. Ese enfoque se centra en la planificación previa y
la comprensión de las necesidades de ciberseguridad de manera integral.
Contratar trabajadores de ciberseguridad no es fácil, especialmente dada la
escasez mundial de personal capacitado: según un estudio de 2022, existe una
brecha en la fuerza laboral de ciberseguridad de 3,4 millones.
Una forma de abordar el problema
es el enfoque de protección de talento a valor . Con este enfoque, los líderes
definen los roles que pueden reducir el mayor riesgo o crear el mayor valor de
seguridad. Los roles identificados como prioritarios deben cubrirse lo antes
posible. Este enfoque permite a las organizaciones contratar a las personas
adecuadas en el momento adecuado, lo que garantiza que el gasto en personal
esté alineado con las aspiraciones de crecimiento.
A continuación se presentan tres
pasos para implementar la protección del talento y el valor:
Identificar las actividades de
ciberseguridad más importantes según las necesidades de la organización, así
como los riesgos más urgentes que deben mitigarse. Estos pueden determinarse
mediante el modelado de riesgos y la clasificación de las vulnerabilidades
potenciales según el grado de riesgo que representan.
Definir los roles prioritarios
que reducen el riesgo de manera más efectiva.
Cree descripciones de trabajo
para estos roles prioritarios y determine si la capacitación o la contratación
es la mejor manera de cubrir cada uno de ellos.
Para una exploración más profunda
de estos temas, consulte McKinsey DigitalColección de ciberseguridad . Obtenga
más información sobre la Práctica de riesgo y resiliencia de McKinsey y
consulte las oportunidades laborales relacionadas con la ciberseguridad si está
interesado en trabajar en McKinsey.
Los artículos a los que se hace
referencia incluyen:
“ Una nueva encuesta revela una
oportunidad de mercado de 2 billones de dólares para los proveedores de
servicios y tecnología de ciberseguridad ”, 27 de octubre de 2022, Bharath
Aiyer, Jeffrey Caso, Peter Russell y Marc Sorel
“ Construyendo una cultura de
ciberseguridad desde dentro: una entrevista con MongoDB ”, 10 de octubre de
2022, Amy Berman, Felix Chen, James Kaplan , Charlie Lewis y Lena Smart
“ Lista de materiales de
software: gestión de los riesgos de ciberseguridad del software ”, 19 de
septiembre de 2022, Tucker Bailey , Justin Greis , Matt Watters y Josh Welle
“ Por qué la confianza digital
realmente importa ”, 12 de septiembre de 2022, Jim Boehm , Liz Grennan , Alex
Singla y Kate Smaje
“ Creación de un marco de
tolerancia al riesgo tecnológico y al riesgo cibernético ”, 25 de agosto de
2022, James Kaplan , Charlie Lewis, Lucy Shenton, Daniel Wallance y Zoe
Zwiebelmann
“ Perspectivas sobre la gestión
del riesgo de modelos de soluciones de ciberseguridad en la banca ”, 22 de
agosto de 2022, Juan Aristi Baquero , Rich Isenberg, Chirag Jain, Pankaj Kumar,
Christophe Rougeaux y Marc Taymans
“ La localización de las
regulaciones de privacidad de datos crea oportunidades competitivas ”, 30 de
junio de 2022, Satyajit Parekh, Stephen Reddin, Kayvaun Rowshankish , Henning
Soller y Malin Strandell-Jansson
“ Cómo proteger su organización
reclutando, contratando y reteniendo talento en ciberseguridad para reducir el
riesgo cibernético ”, 29 de junio de 2022, Venky Anant , Michael Glynn, Justin
Greis , Nick Kosturos, Ida Kristensen , Charlie Lewis y Leandro Santos
“ Legislación sobre
ciberseguridad: preparación para una mayor transparencia y presentación de
informes ”, 17 de junio de 2022, Tucker Bailey , Justin Greis , Matt Watters y
Josh Welle
“ Tendencias en ciberseguridad:
mirando hacia el horizonte ”, 10 de marzo de 2022, Jim Boehm , Dennis Dias,
Charlie Lewis, Kathleen Li y Daniel Wallance
“ Prevención del ransomware: cómo
pueden contraatacar las organizaciones ”, 14 de febrero de 2022, Jim Boehm ,
Franz Hall, Rich Isenberg y Marissa Michel
“ Las oportunidades sin resolver
para los proveedores de ciberseguridad ”, 5 de enero de 2022, Bharath Aiyer,
Jeffrey Caso y Marc Sorel
