• Bookmark

Cómo COBIT 5 puede ayudar a reducir la probabilidad y el impacto de las 5 amenazas cibernéticas más importantes

Por Sue Milton, CISA, CGEIT

COBIT Focus | 3 de abril de 2017 Chinese Simplified | English | Japanese

El 2017 ha llegado con un aumento en las brechas cibernéticas, cuyo impacto se propaga cada vez más en la vida empresarial y personal.


¿Son esas amenazas demasiado grandes para su gestión? ¿Es la gestión de amenazas cibernéticas ese tema tabú del que nadie quiere hablar?


La resiliencia cibernética tiene que estar en el orden del día, pero todavía en muchas salas de juntas se opta por gestionar los riesgos con el Método Avestruz —esperando a que desaparezcan—, lo que se ve empeorado por el aumento creciente de los presupuestos de seguridad, mientras que las respuestas sobre cuánto cuesta y cual es el objetivo siguen sin llegar.


El truco es evaluar las causas, cómo y dónde se manifiestan, y luego definir el impacto y los resultados antes de seleccionar los controles correspondientes. Suena simple, en teoría, pero es una pesadilla en la práctica, debido a que ahora hay muchos factores que están fuera del control directo de nuestras organizaciones. En un principio, se hablaba de riesgos por nuestra capacidad para identificarlos, evaluarlos y controlarlos, ya que su origen era principalmente de carácter interno. Esos riesgos todavía están presentes, y debemos gestionarlos, pero también hay una variedad de problemas externos sobre los que no tenemos control en lo que respecta al origen, cuándo, dónde, cómo y quién. El juego ha cambiado, pasando desde la gestión del riesgo (interno) al de la amenaza (externa).


Es difícil abordar las amenazas cibernéticas desde el inicio por la complejidad de los detalles, que con frecuencia son demasiado variados y numerosos para que el liderazgo pueda determinar la escala del problema. Nuestra única esperanza de alcanzar el éxito requiere de un marco que nos mantenga en buen camino, y así surgió COBIT 5.


Una nueva adición a la familia es Transformando la Ciberseguridad, que nos brinda una visión de alto nivel de los problemas de las amenazas cibernéticas, además de sus correspondencias con COBIT 5 para Seguridad de la Información. Sin embargo, debido a que las amenazas cibernéticas se alimentan de las vulnerabilidades tradicionales, las organizaciones necesitan un marco aún más integral para garantizar una cobertura de 360°. COBIT 5 para Riesgos, en su apéndice B, nos brinda un amplio conjunto de prácticas que cubren tanto los aspectos técnicos como los básicos. COBIT 5 para Aseguramiento nos proporciona medios para identificar vulnerabilidades. COBIT 5 para Seguridad de la información identifica los controles necesarios para proteger los sistemas.


Así podemos:

  • Descubrir dónde buscar vulnerabilidades, humanas y técnicas (consulte COBIT 5 para Aseguramiento, secciones B4-7
  • Entender por qué existen esas vulnerabilidades (consulte COBIT 5 para Aseguramiento, apéndice D2; COBIT 5 para Riesgos, apéndice B, MEA01)
  • Identificar la causa y el efecto para ayudar a entender las compensaciones que existen en todas las empresas, ya que los recursos no son ilimitados (COBIT 5 para Riesgos, apéndice B, AP008)
  • Evaluar la seguridad y el control técnico y de comportamiento (COBIT 5 para la Seguridad de la información, apéndices D-G)

Mi elección de amenazas proviene de las Comunicaciones de nivel 3, ya que creo que son representativas de los ataques a la comunidad empresarial. Si les aplicamos COBIT 5, (material fuente original de las Comunicaciones de nivel 3, embellecidas por mi uso de COBIT 5), obtenemos esta visión general:


Ataques a la capa de red y de aplicación
Causas—herramientas para los ataques de denegación de servicio distribuido (DDoS) fácilmente disponibles; ubicaciones desconocidas y número de disruptores con tolerancia ilimitada; controles sobre los componentes de hardware y software sin mantenimiento
Impactos—Interrupciones de red y servidores; potencial para que ocurra un ataque «a cuestas» en otro lugar
Resultados—Interrupción del negocio; coste de oportunidad para resolver el ataque y recuperación de la confianza en la cadena de suministro
Controles—Detener un ataque es muy difícil, así que la empresa debe tener procedimientos robustos de detección, supervisión y corrección, la capacidad de informar sobre todas las sospechas y agilidad a la hora de responder


Ingeniería social
Causas—Comunicaciones genuinas que aparentan ser falsas; personal vulnerable; gobernanza débil; prácticas de conducta y de seguridad
Impactos—Acceso a información crítica; robo; acceso físico y virtual disponible para partes ajenas
Resultados—Pérdida de la ventaja competitiva; se rompe la confianza en la cadena de suministro; disminuye la reputación general; infracciones de las normas; se sospecha de la integridad de todos los demás datos
Controles—Muchos serán controles básicos, como la formación en ingeniería antisocial a todos los niveles y la gestión de apoyo del personal; comportamiento sano del comité/ejecutivos de primer nivel que cumple con las políticas; políticas de opinión que permitan a cualquiera decir que han podido ser manipuladas. Los controles técnicos son como los anteriores.


Amenazas persistentes avanzadas:
Causas—Explotación de vulnerabilidades para crear «puertas traseras» a los sistemas
Impactos—Acceso y captura de datos y credenciales; como no hay una interrupción obvia, no hay manera evidente de saber cuánto tiempo ha estado sucediendo.
Resultados—Como en la ingeniería social
Controles—Como en los ataques a la capa de red y de aplicación


Crimen organizado
Causas—Capacidad de implementar amenazas de ataques a la capa de red y de aplicación, ingeniería social, y amenazas persistentes avanzadas (APT)
Impactos—Como en los ataques a la capa de red y de aplicación, ingeniería social, APT, pero a una escala mucho mayor. Las víctimas no solo incluyen la organización, sino también la cadena de suministro, los clientes y posiblemente sus familias y bancos.
Resultados—La propiedad intelectual y los datos sensibles están ahora bajo el control de criminales para su beneficio; más datos disponibles en el mercado negro; demandas de chantaje y extorsión
Controles—Como en los ataques a la capa de red y de aplicación, ingeniería social, APT; implicación con la policía para garantizar que se preserven las pruebas forenses; implicación con abogados para evaluar las responsabilidades legales; establecimiento de políticas y prácticas de comunicación para utilizar con los medios de comunicación.


Violaciones principales de datos
Causas—Todas las anteriores
Impactos—Exposición de datos sensibles; interrupción del negocio
Resultados—Pérdida de confianza; costos altos de recuperación operativos y de reputación
Controles—Como en los ataques a la capa de red y de aplicación, ingeniería social, APT y crimen organizado


Conclusión

Si queremos centrarnos en las amenazas cibernéticas:

  • Empiece con Transformando la Ciberseguridad y aplique los aspectos pertinentes de COBIT 5 para la Seguridad de la información.
  • Para una evaluación, seguridad y plan de acción completos, amplíe el alcance para incluir también COBIT 5 para Riesgos y COBIT 5 para Aseguramiento
  • La verificación final es determinar cómo la identificación, el control y la gestión de las amenazas respaldan los objetivos generales de la organización—los habilitadores de COBIT 5 que permiten que una organización prospere—, como contar con una cultura de servicio de alta calidad orientada al cliente, aumentando el valor de las partes interesadas mediante la mejora de la eficacia y eficiencia.1

Controlando mejor una sola amenaza, la probabilidad y el impacto de las demás también se reducen. Estemos sobre aviso para ver y tratar este tema tabú.


Nota del editor

El artículo originalmente apareció como una entrada de blog en el sitio web de APMG International. Se ha reimpreso aquí con permiso.


Sue Milton, CISA, CGEIT

Es una auditora profesional de TI y especialista en gobernanza que tiene una comprensión profunda de los aspectos intangibles de la gobernanza, como el comportamiento empresarial, las relaciones con las partes interesadas y la interacción entre las personas y las TI, que afectan la eficacia de las relaciones laborales dentro de las organizaciones y entre ellas. Durante los años 2015 y 2016, Milton trabajó con la Comunidad de Desarrollo de Sud África en la gestión de riesgos intangibles a la gobernanza, con el Banco Asiático de Desarrollo para ayudar en la transición de Birmania a una economía de mercado, y con APMG International para promover COBIT 5. Ahora, se concentra en los desafíos de gobernanza del libro verde del gobierno de Reino Unido sobre los cambios propuestos al código de gobierno corporativo de la nación, y los desafíos estratégicos y operativos del Brexit, las amenazas cibernéticas, y del Reglamento General de Protección de Datos de la UE. Milton es expresidenta de la sucursal de ISACA en Londres, y también enseña y escribe artículos sobre gobernanza y temas relacionados con las TI para una gran variedad de organizaciones. Proporciona regularmente opiniones de negocio a la unidad de política del Instituto de Directores y publica comentarios sobre cuestiones de ciberseguridad en los medios de comunicación.


Notas finales

1 ISACA, COBIT 5: Procesos catalizadores, EE. UU., 2012

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.