CYBERSEGURIDAD

 

¿Qué es la ciberseguridad?

Es lo que hacen las organizaciones para proteger sus propios datos y los de sus clientes de ataques maliciosos.

Datos de actualidad. Internet no siempre es un espacio seguro. Los ciberataques están en aumento y no hay indicios de que vayan a detenerse pronto.

Como resultado de este aumento, todo el mundo está en alerta roja: los consumidores están prestando más atención a dónde van sus datos, los gobiernos están implementando regulaciones para proteger a sus poblaciones y las organizaciones están gastando más tiempo, energía y dinero para proteger sus operaciones contra el ciberdelito.

Para las organizaciones, la creciente concienciación sobre el riesgo cibernético, tanto por parte de los consumidores como de los reguladores, no tiene por qué ser un problema. De hecho, el clima actual podría presentar a los líderes inteligentes una importante oportunidad de crecimiento. La investigación indica que las organizaciones mejor posicionadas para generar confianza digital tienen más probabilidades que otras de ver un crecimiento anual  de al menos el 10 por ciento.

 

¿Cuál es el estado actual de la ciberseguridad para los consumidores, los reguladores y las organizaciones? ¿Y cómo pueden las organizaciones convertir los riesgos en recompensas?

 

¿Qué es un ciberataque?

Antes de aprender cómo pueden protegerse las organizaciones y las personas, comencemos por saber contra qué se protegen. ¿Qué es un ciberataque? En pocas palabras, es cualquier ataque malicioso a un sistema informático, una red o un dispositivo para obtener acceso a información. Existen muchos tipos diferentes de ciberataques. Estos son algunos de los más comunes:

El malware es un software malicioso, que incluye spyware, ransomware y virus. Accede a una red a través de un punto débil, por ejemplo, cuando un miembro de la red hace clic en un enlace fraudulento o en un archivo adjunto de correo electrónico. Una vez que el malware controla un sistema, puede exigir un pago a cambio de acceder a ese sistema (ransomware), transmitir información de forma encubierta desde la red (spyware) o instalar software dañino adicional en la red. En 2021, los ataques de ransomware por sí solos aumentaron un 105 por ciento.

El phishing consiste en que un malhechor envíe un mensaje fraudulento que parece provenir de una fuente legítima, como un banco o una empresa, o de alguien con un número de teléfono incorrecto. Los ataques de phishing se realizan a través del correo electrónico, mensajes de texto o redes sociales. Por lo general, el objetivo es robar información instalando malware o persuadiendo a la víctima para que revele sus datos personales.

Los ataques de intermediario son incidentes en los que un atacante se interpone entre dos participantes de una transacción para espiar información personal. Estos ataques son particularmente comunes en redes Wi-Fi públicas, que pueden ser fácilmente pirateadas.

Los ataques de denegación de servicio inundan los sistemas con tráfico para saturar el ancho de banda y evitar que puedan atender solicitudes legítimas. El objetivo de este tipo de ataque es apagar los sistemas.

Los ataques de contraseñas son llevados a cabo por cibercriminales que intentan robar contraseñas mediante conjeturas o engaños.

Las personas y las empresas pueden protegerse de los ciberataques de diversas formas, desde contraseñas hasta bloqueos físicos en los discos duros. La seguridad de la red protege una red informática cableada o inalámbrica de intrusos. La seguridad de la información, como las medidas de protección de datos del Reglamento General de Protección de Datos (RGPD) de Europa, protege los datos confidenciales del acceso no autorizado. Hay muchos más tipos de ciberseguridad, incluidos los programas antivirus y los cortafuegos. La ciberseguridad es un gran negocio: una empresa de investigación y asesoramiento tecnológico estima que las empresas gastarán más de 188 000 millones de dólares en seguridad de la información en 2023.

A pesar de las amplias medidas que las organizaciones implementan para protegerse, a menudo no son suficientes. Los cibercriminales están constantemente evolucionando sus métodos para aprovechar los cambios en los consumidores y las lagunas legales recién descubiertas. Cuando el mundo cambió apresuradamente al trabajo remoto al comienzo de la pandemia, por ejemplo, los cibercriminales aprovecharon las nuevas vulnerabilidades del software para causar estragos en los sistemas informáticos. El Centro de Denuncias de Delitos en Internet del Buró Federal de Investigaciones (FBI) de EE. UU. informó un aumento de casi el 50 por ciento en los delitos sospechosos en Internet en 2020 con respecto a 2019. Las pérdidas reportadas superaron los $4.2 mil millones.

 

¿Qué tendencias en ciberseguridad se proyectan para los próximos tres a cinco años?

El riesgo cibernético no es estático y nunca desaparece. Solo adoptando una postura dinámica y con visión de futuro las empresas podrán mantenerse al día con la situación actual y mitigar las disrupciones en el futuro. Estas tres tendencias principales en materia de ciberseguridad pueden tener las mayores implicaciones para las organizaciones:

El acceso a demanda a plataformas de información y datos omnipresentes está en aumento. Los cambios recientes hacia plataformas móviles y trabajo remoto requieren acceso de alta velocidad a grandes conjuntos de datos omnipresentes. Esta dependencia exacerba la probabilidad de una filtración. Las organizaciones recopilan más datos que nunca sobre sus clientes, por lo que una filtración de este tipo podría ser especialmente costosa. Para almacenar, administrar y proteger los datos, las organizaciones necesitan nuevas plataformas tecnológicas.

Los piratas informáticos utilizan la inteligencia artificial, el aprendizaje automático y otras tecnologías para lanzar ataques cada vez más sofisticados. Atrás quedaron los días en que el pirata informático con capucha trabajaba solo en una habitación con persianas opacas. Hoy en día, la piratería es una industria multimillonaria, con jerarquías institucionales y presupuestos de I+D. Los atacantes que utilizan herramientas avanzadas como la inteligencia artificial, la automatización y el aprendizaje automático reducirán el ciclo de vida de un ataque de semanas a días o incluso horas. Otras tecnologías y capacidades están haciendo que las formas conocidas de ataques, como el ransomware y el phishing, sean más fáciles de montar y más comunes.

El panorama regulatorio en expansión y las brechas continuas en recursos, conocimiento y talento significan que las organizaciones deben evolucionar y adaptar continuamente su enfoque de ciberseguridad. Muchas organizaciones no tienen suficiente conocimiento, talento y experiencia  en ciberseguridad. La escasez está creciendo a medida que los reguladores aumentan su monitoreo de la ciberseguridad en las corporaciones.

Estas son las tres tendencias de ciberseguridad que McKinsey predice para los próximos años. Más adelante en este artículo, aprenderá cómo las organizaciones pueden mantenerse a la vanguardia.

 

¿Cómo abordan los reguladores la ciberseguridad?

A medida que los ciberataques de alto perfil catapultan la seguridad de los datos al centro de la atención internacional, los responsables de las políticas están prestando cada vez más atención a la forma en que las organizaciones gestionan los datos públicos. En los Estados Unidos, el gobierno federal y al menos 45 estados y Puerto Rico han presentado  o considerado más de 250 proyectos de ley o resoluciones que abordan la ciberseguridad. En Europa, el Reglamento General de Protección de Datos impone multas de hasta el 4 por ciento de la facturación global a las empresas que no protegen los datos de sus clientes.

 

¿Cómo pueden las organizaciones estadounidenses prepararse para las nuevas regulaciones cibernéticas?

Algunos de los ataques más importantes a servicios o información esenciales en los últimos años han sido contra grandes empresas estadounidenses. En 2021, el FBI recibió el mayor número de denuncias por delitos cibernéticos y reportó pérdidas totales de la historia: casi 850.000 denuncias, lo que refleja más de 6.900 millones de dólares en pérdidas. La nueva legislación influirá en la forma en que las empresas denuncian y revelan los delitos cibernéticos y en cómo gestionan sus esfuerzos para combatirlos.

Hay tres pasos que las organizaciones estadounidenses pueden tomar para ayudar a prepararse para las nuevas regulaciones.

Preparación. Las empresas pueden aumentar su preparación ante los ciberataques verificando su capacidad para detectarlos e identificarlos y creando procesos de notificación claros. Los procesos existentes deben probarse y perfeccionarse mediante ejercicios de simulación.

Respuesta. Las empresas pueden mejorar su respuesta a los ciberataques mejorando su capacidad para identificarlos, contenerlos, erradicarlos y recuperarse de ellos. Por ejemplo, pueden establecer centros de crisis, contratar expertos externos para que verifiquen sus planes e implementar protocolos para utilizar servicios y soporte alternativos durante un ataque.

Remediación. Después de una crisis, las empresas pueden reflexionar sobre las lecciones aprendidas y aplicarlas a mejores estrategias para lograr una mayor resiliencia.

Las empresas pueden aumentar su preparación ante los ciberataques verificando su capacidad para detectarlos e identificarlos y creando procesos de informes claros.

 

¿Cómo pueden ayudar los proveedores de tecnología y servicios de ciberseguridad?

Se prevé que los ciberataques causen daños por valor de 10,5 billones de dólares al año en 2025, lo que supone un aumento del 300 % con respecto a los niveles de 2015. Para protegerse de esta avalancha, las organizaciones de todo el mundo gastaron alrededor de 150 000 millones de dólares en ciberseguridad en 2021, y esta suma crece un 12,4 % al año. Pero es probable que ni siquiera eso sea suficiente: se prevé que el volumen de amenazas aumente en los próximos años.

La brecha entre el mercado actual y el mercado potencial total es enorme; actualmente, solo se ha penetrado en el 10 por ciento del mercado de soluciones de seguridad. La oportunidad total es de entre 1,5 y 2 billones de dólares .

Dadas las tendencias actuales, los proveedores de ciberseguridad pueden centrarse en cuatro áreas clave :

Tecnologías en la nube. En el futuro próximo, la migración a la nube  seguirá dominando las estrategias tecnológicas de muchas organizaciones. Por lo tanto, los proveedores deberían poder proteger tanto las configuraciones de nube generales como las especializadas.

Mecanismos de fijación de precios. La mayoría de las soluciones cibernéticas que existen actualmente en el mercado no están dirigidas a las pequeñas y medianas empresas. Los proveedores de ciberseguridad pueden captar este mercado creando productos a medida.

Inteligencia artificial. Existe un enorme potencial para la inteligencia artificial y el aprendizaje automático innovadores en el ámbito de la ciberseguridad, pero los operadores tienen dificultades para confiar en las plataformas y productos de ciberdefensa inteligentes y autónomos. En cambio, los proveedores deberían desarrollar productos de inteligencia artificial y aprendizaje automático que hagan que los analistas humanos sean más eficientes.

 

Servicios gestionados. Se prevé que la demanda de servicios completos aumente hasta un 10 por ciento anual durante los próximos tres años. Los proveedores deberían desarrollar ofertas combinadas que incluyan casos prácticos de gran interés y centrarse en los resultados, no en la tecnología.

Profundicemos en los pasos específicos que podrían adoptar los proveedores de servicios de ciberseguridad.

 

¿Qué es el ransomware? ¿Qué tipo de daños puede causar?

El ransomware es un malware que manipula los datos de la víctima y los retiene para pedir un rescate mediante su cifrado. En los últimos años, ha alcanzado un nuevo nivel de sofisticación y las demandas de pago se han disparado a decenas de millones de dólares. Las operaciones de “atraco y robo” del pasado se han transformado en un juego a largo plazo: los piratas informáticos se esconden sin ser detectados en los entornos de sus víctimas para encontrar la información y los datos más valiosos. Y se prevé que la situación solo empeore: la organización de investigación de mercado y editora de Cybercrime Magazine, Cybersecurity Ventures, estima  que el costo del ransomware podría alcanzar los 265 mil millones de dólares para 2031. Estos son algunos de los costos específicos que las empresas han enfrentado como resultado de los ataques de ransomware:

Colonial Pipeline pagó un rescate de 4,4 millones de dólares después de que la empresa cerrara sus operaciones.

El productor mundial de carne JBS pagó 11 millones de dólares .

El proveedor global de seguros CNA Financial pagó aproximadamente 40 millones de dólares .

Un ataque de ransomware contra el proveedor de software estadounidense Kaseya tuvo como objetivo su herramienta de gestión remota de computadoras y puso en peligro hasta 2.000 empresas de todo el mundo.

Estas cifras no incluyen costos como los pagos a terceros (por ejemplo, firmas de abogados, de relaciones públicas y de negociación), ni tampoco los costos de oportunidad que implica que ejecutivos y equipos especializados dejen de lado sus funciones cotidianas durante semanas o meses para lidiar con un ataque o con la pérdida de ingresos resultante.

 

¿Qué pueden hacer las organizaciones para mitigar futuras ciberamenazas?

Los gerentes de ciberseguridad deben considerar las siguientes capacidades , que deben ajustarse a los contextos únicos de cada empresa.

Arquitectura de confianza cero (ZTA). En este diseño de sistema de seguridad, todas las entidades (dentro y fuera de la red informática de la organización) no son confiables de manera predeterminada y deben demostrar su confiabilidad. ZTA desplaza el foco de la ciberdefensa desde los perímetros estáticos alrededor de las redes físicas hacia los usuarios, los activos y los recursos, mitigando así el riesgo de los datos descentralizados.

Análisis de comportamiento. Estas herramientas pueden monitorear las solicitudes de acceso de los empleados o el estado de los dispositivos e identificar comportamientos anómalos de los usuarios o actividades de los dispositivos.

Monitoreo elástico de registros para grandes conjuntos de datos. Gracias a los avances en big data y la Internet de las cosas  (IoT), los conjuntos de datos son más grandes que nunca. El gran volumen de datos que se deben monitorear hace que sea aún más difícil realizar un seguimiento de quién accede a ellos. El monitoreo elástico de registros permite a las empresas extraer datos de registros de cualquier parte de la organización en una única ubicación y luego buscarlos, analizarlos y visualizarlos en tiempo real.

Cifrado homomórfico. Este método permite a los usuarios trabajar con datos cifrados sin tener que descifrarlos primero, lo que permite a terceros y a otros colaboradores acceder de forma segura a grandes conjuntos de datos.

Automatización basada en riesgos. A medida que aumentan los niveles de digitalización, las organizaciones pueden utilizar la automatización para gestionar procesos rutinarios y de menor riesgo, liberando así otros recursos para actividades de mayor valor.

Inteligencia artificial defensiva y aprendizaje automático para la ciberseguridad. Dado que los ciberatacantes están adoptando la inteligencia artificial y el aprendizaje automático, los equipos de ciberseguridad deben ampliar las mismas tecnologías. Las organizaciones pueden usarlas para detectar y reparar sistemas de seguridad que no cumplan con las normas.

Respuestas técnicas y organizativas al ransomware . A medida que aumenta la sofisticación, la frecuencia y el alcance del ransomware, las organizaciones deben mantenerse al día.

Desarrollo de software seguro. Las empresas deberían incorporar la ciberseguridad en el diseño del software desde el principio. Los equipos de seguridad y riesgo tecnológico deberían interactuar con los desarrolladores en cada etapa del desarrollo. Los equipos de seguridad también deberían adoptar enfoques más sistemáticos para abordar los problemas, incluidos los enfoques ágiles  y kanban.

Infraestructura y seguridad como código. La estandarización y codificación de los procesos de infraestructura e ingeniería de control puede simplificar la gestión de entornos complejos y aumentar la resiliencia de un sistema.

Lista de materiales del software. A medida que aumentan los requisitos de cumplimiento, las organizaciones pueden mitigar la carga administrativa detallando formalmente todos los componentes y las relaciones de la cadena de suministro que se utilizan en el software. Este enfoque también ayuda a garantizar que los equipos de seguridad estén preparados para las consultas regulatorias.

La estandarización y codificación de los procesos de infraestructura e ingeniería de control simplifican la gestión de entornos complejos y aumentan la resiliencia de un sistema.

Para obtener más información sobre cada una de estas capacidades y por qué pueden reforzar las capacidades de ciberdefensa en el horizonte, lea nuestro artículo sobre tendencias de ciberseguridad.

 

¿Cómo puede un programa de “campeones de la seguridad” promover una cultura de ciberseguridad interna más fuerte?

Una organización es tan buena como su gente, y su seguridad es tan sólida como su comprensión de por qué es importante la seguridad. McKinsey habló con MongoDB, una empresa de desarrollo de plataformas de datos, sobre cómo estableció un programa de campeones de seguridad para ayudar a sus empleados a hacer de la seguridad una prioridad máxima.

Para generar conciencia sobre los problemas de seguridad y crear una cultura de seguridad sólida, MongoDB reinició su programa de campeones de seguridad durante la pandemia. Hasta octubre de 2022, el programa había organizado más de 20 eventos, reuniendo a los empleados para aprender sobre seguridad a través de la planificación de escenarios y participar en actividades de formación de equipos, como capturar la bandera.

El objetivo de MongoDB es que el 10 por ciento de sus empleados participen en el programa de campeones de seguridad. Los participantes se comprometen a dedicarle algunas horas cada semana y luego servir como embajadores de seguridad para sus equipos y departamentos. Los líderes de la empresa también ven el programa como un vehículo para la capacitación porque ayuda a mejorar las habilidades de los empleados, que luego pueden ocupar puestos en los equipos de seguridad y cumplimiento. "Esto es genial", dice la directora de seguridad de la información de MongoDB, Lena Smart , "en un momento en el que es bastante difícil encontrar talento calificado [en ciberseguridad]".

 

¿Cómo sabe la empresa que el programa está funcionando? “Observamos las tendencias a lo largo del tiempo”, afirma Felix Chen, analista sénior de educación y promoción de la ciberseguridad en MongoDB. “Por ejemplo, en nuestras campañas de simulación de phishing, analizamos cuántas personas hicieron clic en un enlace de phishing. Analizamos la asistencia a eventos y las vulnerabilidades denunciadas. Y, lo que es más importante, comunicamos nuestro progreso a la dirección”.

 

¿Cómo puede el talento en ciberseguridad ayudar a mitigar el riesgo cibernético?

Los controles y capacidades técnicas son, y siempre serán, necesarios para proteger el entorno de cualquier organización. Pero estará aún mejor posicionada para reducir su exposición al riesgo de ciberseguridad si adopta un nuevo enfoque para contratar talento en materia de ciberseguridad. Ese enfoque se centra en la planificación previa y la comprensión de las necesidades de ciberseguridad de manera integral. Contratar trabajadores de ciberseguridad no es fácil, especialmente dada la escasez mundial de personal capacitado: según un estudio de 2022, existe una brecha en la fuerza laboral de ciberseguridad de 3,4 millones.

Una forma de abordar el problema es el enfoque de protección de talento a valor . Con este enfoque, los líderes definen los roles que pueden reducir el mayor riesgo o crear el mayor valor de seguridad. Los roles identificados como prioritarios deben cubrirse lo antes posible. Este enfoque permite a las organizaciones contratar a las personas adecuadas en el momento adecuado, lo que garantiza que el gasto en personal esté alineado con las aspiraciones de crecimiento.

 

A continuación se presentan tres pasos para implementar la protección del talento y el valor:

 

Identificar las actividades de ciberseguridad más importantes según las necesidades de la organización, así como los riesgos más urgentes que deben mitigarse. Estos pueden determinarse mediante el modelado de riesgos y la clasificación de las vulnerabilidades potenciales según el grado de riesgo que representan.

Definir los roles prioritarios que reducen el riesgo de manera más efectiva.

Cree descripciones de trabajo para estos roles prioritarios y determine si la capacitación o la contratación es la mejor manera de cubrir cada uno de ellos.

Para una exploración más profunda de estos temas, consulte McKinsey DigitalColección de ciberseguridad . Obtenga más información sobre la Práctica de riesgo y resiliencia de McKinsey y consulte las oportunidades laborales relacionadas con la ciberseguridad si está interesado en trabajar en McKinsey.

 

Los artículos a los que se hace referencia incluyen:

 

“ Una nueva encuesta revela una oportunidad de mercado de 2 billones de dólares para los proveedores de servicios y tecnología de ciberseguridad ”, 27 de octubre de 2022, Bharath Aiyer, Jeffrey Caso, Peter Russell y Marc Sorel

“ Construyendo una cultura de ciberseguridad desde dentro: una entrevista con MongoDB ”, 10 de octubre de 2022, Amy Berman, Felix Chen, James Kaplan , Charlie Lewis y Lena Smart

“ Lista de materiales de software: gestión de los riesgos de ciberseguridad del software ”, 19 de septiembre de 2022, Tucker Bailey , Justin Greis , Matt Watters y Josh Welle

“ Por qué la confianza digital realmente importa ”, 12 de septiembre de 2022, Jim Boehm , Liz Grennan , Alex Singla y Kate Smaje

“ Creación de un marco de tolerancia al riesgo tecnológico y al riesgo cibernético ”, 25 de agosto de 2022, James Kaplan , Charlie Lewis, Lucy Shenton, Daniel Wallance y Zoe Zwiebelmann

“ Perspectivas sobre la gestión del riesgo de modelos de soluciones de ciberseguridad en la banca ”, 22 de agosto de 2022, Juan Aristi Baquero , Rich Isenberg, Chirag Jain, Pankaj Kumar, Christophe Rougeaux y Marc Taymans

“ La localización de las regulaciones de privacidad de datos crea oportunidades competitivas ”, 30 de junio de 2022, Satyajit Parekh, Stephen Reddin, Kayvaun Rowshankish , Henning Soller y Malin Strandell-Jansson

“ Cómo proteger su organización reclutando, contratando y reteniendo talento en ciberseguridad para reducir el riesgo cibernético ”, 29 de junio de 2022, Venky Anant , Michael Glynn, Justin Greis , Nick Kosturos, Ida Kristensen , Charlie Lewis y Leandro Santos

“ Legislación sobre ciberseguridad: preparación para una mayor transparencia y presentación de informes ”, 17 de junio de 2022, Tucker Bailey , Justin Greis , Matt Watters y Josh Welle

“ Tendencias en ciberseguridad: mirando hacia el horizonte ”, 10 de marzo de 2022, Jim Boehm , Dennis Dias, Charlie Lewis, Kathleen Li y Daniel Wallance

“ Prevención del ransomware: cómo pueden contraatacar las organizaciones ”, 14 de febrero de 2022, Jim Boehm , Franz Hall, Rich Isenberg y Marissa Michel

“ Las oportunidades sin resolver para los proveedores de ciberseguridad ”, 5 de enero de 2022, Bharath Aiyer, Jeffrey Caso y Marc Sorel