Artículo

Global Cyber Executive Briefing

En un mundo cada vez más impulsado por las tecnologías digitales y la información, la gestión de ciber-amenaza es más que un imperativo estratégico. Es una parte fundamental de hacer negocios. Sin embargo, para muchos ejecutivos de alta dirección y los miembros del consejo, el concepto de la ciberseguridad sigue siendo vago y complejo. Aunque podría estar en su agenda estratégica, ¿qué significa realmente? ¿Y qué puede hacer su organización para reforzar sus defensas y protegerse de las amenazas informáticas? Un mito común es que los ciber-ataques suceden sólo a ciertos tipos de organizaciones, como empresas tecnológicas de alto perfil. Sin embargo, la fría y dura verdad es que cada organización tiene datos valiosos para perder. De hecho, los ataques que ocurren con mayor frecuencia son completamente indiscriminada - utilizando secuencias de comandos, herramientas automatizadas que identifican y aprovechan cualquier debilidad que sucedan de encontrar.

Lecciones de las líneas del frente

Patrón Clasificación de Incidentes Porcentaje
Punto de Venta las Intrusiones del Sistema 14%
Ataques Web App 35%
El mal uso de información privilegiada 8%
Robo Física / Pérdida <1%
Otros errores 2%
Crimeware 4%
Card Skimmers 9%
Ataques de Denegación de Servicio <1%
Cyber-espionaje 22%
Todo lo demás 6%

Tabla 1: Frecuencia de incidentes patrones de clasificación de 1.367 infracciones durante 2013. Fuente: Verizon 2014 Data Breach Investigations Informe 1

 

Los ciberataques pueden ser extremadamente perjudicial. Los costos tangibles van desde fondos robados y sistemas dañados a multas regulatorias, daños y perjuicios y la compensación financiera para los perjudicados. Sin embargo, lo que podría perjudicar aún más son los costos intangibles - tales como la pérdida de ventaja competitiva debido a la propiedad intelectual robada, perdida del cliente o socio de negocios de confianza, pérdida de integridad debido a los activos digitales en peligro, y el daño general a la reputación de una organización y marca - todos los cuales pueden enviar cotización desplome de una organización, y en casos extremos puede incluso conducir una empresa fuera del negocio.

Ser resistente a los ciber-riesgos comienza con la conciencia en el tablero y el nivel C-suite; un reconocimiento de que en algún momento será atacado su organización. Es necesario comprender las mayores amenazas, y cuáles son los activos de mayor riesgo - los activos en el corazón de la misión de su organización.

¿Quién podría potencialmente dirigir su organización, y por qué razones? Qué activos son atacantes propensos a ver como más valioso? ¿Cuáles son los posibles escenarios de ataque (ver Tabla 1), y cuál es el impacto potencial para su negocio?

Preguntas como éstas pueden ayudar a determinar cómo es probable que sean los ciber-amenazas avanzadas y persistentes a su negocio. Esta visión le permite, como un ejecutivo de alta dirección o miembro de la junta, para determinar el apetito de riesgo de su organización y proporcionar una guía que ayuda a los profesionales de la seguridad interna y externa reducir su exposición al riesgo a un nivel aceptable a través de un ciber-defensa bien equilibrada. Aunque no es posible para cualquier organización que sea 100 por ciento seguro, es totalmente posible utilizar una combinación de procesos de prevención, detección y respuesta para mantener cyber-riesgo por debajo de un nivel establecido por la junta y permitir a una organización para operar con menos interrupciones.

Para ser eficaz y bien equilibrado, una defensa cibernética debe tener tres características fundamentales: seguridad, vigilantes, y resilientes.

Seguro: Ser medio seguro centrados protección alrededor de los activos sensibles al riesgo en el corazón de la misión de su organización - los que tanto usted como sus adversarios es probable llegar a un acuerdo son los más valiosos.

Vigilante: Estar vigilantes medios que establecen la conciencia amenaza en toda la organización y desarrollo de la capacidad para detectar patrones de comportamiento que pueden indicar, o incluso predecir, de compromiso de los activos críticos.

Resilientes: Siendo medios elásticos que tienen la capacidad de contener rápidamente los daños y movilizar los diversos recursos necesarios para minimizar el impacto - incluyendo los costos directos e interrupción de los negocios, así como la reputación y los daños a la marca.

Este resumen ejecutivo es un punto de partida para las organizaciones a comprender sus más importantes amenazas cibernéticas. En él se destacan las principales amenazas para los siete sectores clave de la industria - comercio minorista, manufactura, comercio electrónico y pagos en línea, los medios de comunicación en línea, de alta tecnología, de telecomunicaciones y de seguros - y ofrece historias del mundo real y conocimientos prácticos para ayudar a su organización comenzar a evaluar su perfil de riesgo y permanecer un paso por delante de los ciberdelincuentes.

Al poner de relieve los casos de la vida real, esperamos dejar claro que siendo hackeado es nada de qué avergonzarse. Las infracciones se producen en todas las organizaciones - no porque se gestionan mal, sino porque los hackers y ciber-criminales se vuelven más inteligentes cada día. Al compartir información sobre las infracciones que podemos aprender cómo proteger mejor a nosotros mismos - un ser imperativo promovida por la Alianza en favor de Cyber-Resiliencia 2 iniciativa del Foro Económico Mundial.

Las historias muestran claramente que las infracciones son inevitables: la organización va a ser hackeado algún día. También muestran que todos dependemos unos de otros para un ciber-espacio elástico. Por ejemplo, los medios de comunicación en línea se pueden utilizar para propagar malware; vulnerabilidades en el sector de alta tecnología afectan a otras industrias que utilizan la tecnología digital; y la interrupción de los pagos impacto del comercio electrónico en línea. Al compartir y comprender estos casos y asumir la responsabilidad en el nivel C-suite y comida, todos podemos trabajar juntos hacia un mundo más seguro el ciberespacio.

 

Descargue el informe. Para una correcta visualización de la página en un iPad, es posible que desee instalar la aplicación gratuita Adobe Reader. Al abrir el pdf, seleccione Una sola página como Modo de visualización.

Conclusión

Este informe se centra en siete sectores clave de la industria que son los principales objetivos de los ataques cibernéticos. Seguimiento de los informes que se destacarán las principales amenazas cibernéticas en otros sectores importantes que también son altamente vulnerables. Después de todo, la principal comida para llevar de las historias y puntos de vista que aquí se presenta es que las infracciones son inevitables - y que ningún sector u organización es inmune. Su organización será hackeado algún día.

Los ataques pueden resultar en costos tangibles significativas que van desde dinero y los bienes robados a multas regulatorias, daños y perjuicios, y la contrapartida financiera. Pero esos son sólo la punta del iceberg. Los costos realmente importantes son los intangibles, en particular la pérdida de ventaja competitiva, la pérdida de confianza de los clientes, y el daño a la reputación y la marca de una organización. Intangibles como éstas pueden tener un impacto importante en la posición de mercado y precio de la acción estratégica de una organización.

La buena noticia es que las amenazas cibernéticas son un problema manejable. Como se señaló anteriormente, un ciber-defensa bien equilibrada debe ser seguro, vigilante, y resistente. Aunque no es posible para cualquier organización que sea 100 por ciento seguro, al centrarse en estos tres atributos clave, es totalmente posible gestionar y mitigar las amenazas informáticas de una manera que reduce su impacto y minimiza el potencial para la interrupción de negocios.

Para terminar, he aquí cinco preguntas para llevar a reflexionar sobre a través de la lente de un enfoque seguro, vigilante, y resistente a la seguridad cibernética:

  1. ¿Nos concentramos en las cosas correctas?
    A menudo se le preguntó, pero difícil de lograr. Comprender cómo se crea valor en su organización, donde sus activos críticos son, cómo son vulnerables a las amenazas clave. Practica de defensa en profundidad.
  2. ¿Tenemos el talento adecuado?
    Calidad sobre la cantidad. Puede que no haya suficiente talento para hacerlo todo en casa, así que tome un enfoque estratégico de las decisiones de aprovisionamiento. ¿Están los equipos de seguridad se centraron en las áreas de negocio reales?
  3. ¿Estamos proactiva o reactiva?
    Adaptación para la seguridad es muy caro. Construir adelantado en su procesos de gestión, aplicaciones e infraestructura.
  4. ¿Estamos incentivando la apertura y la colaboración?
    Construir relaciones sólidas con los socios, la policía, los reguladores y proveedores. Fomentar la cooperación interna entre los grupos y funciones, y garantizar que las personas no se esconden riesgos para protegerse.
  5. ¿Estamos adaptando al cambio?
    Exámenes de las políticas, las evaluaciones y los ensayos de los procesos de respuesta de crisis deben ser regularizados para establecer una cultura de adaptación permanente a la amenaza y el riesgo paisaje.
Did you find this useful?