Los ataques cibernéticos son costosos, perturbadores y una amenaza creciente para las empresas, los gobiernos y la sociedad por igual. Afortunadamente, un arsenal de estándares ayuda a mantenerse a la vanguardia.
El cibercrimen va en aumento. Y a medida que nos adentramos más en la era digital, la era de la llamada Cuarta Revolución Industrial, también se vuelve cada vez más sofisticada y severa, con graves consecuencias. A medida que los ciberdelincuentes se vuelven más hábiles, el ciberdelito ha tocado nuestras vidas de una forma u otra.
Los ataques cibernéticos pueden variar desde piratear sistemas y redes sociales, ataques de phishing, software malicioso que incluye ransomware, robo de identidad, ingeniería social y ataques de denegación de servicio. Esto es doloroso tanto a nivel personal como financiero, causando daños y destrucción incalculables, además de dejar vulnerables a la sociedad y a los ciudadanos. Según McAfee , la empresa de software de seguridad informática, el coste de estos ciberataques va en aumento, ascendiendo a alrededor de 1 billón de dólares en 2020.
UN RIESGO GLOBAL CRECIENTE
Dado que la pandemia de COVID-19 ha arraigado aún más nuestra creciente dependencia de los sistemas digitales, no sorprende que el Informe de riesgos globales 2022 haya incluido una vez más la amenaza a la ciberseguridad como uno de los riesgos crecientes que enfrenta el mundo. Las fallas de seguridad cibernética, dice, han empeorado significativamente y amenazan la prosperidad a largo plazo.
Pero, ¿cómo nos mantenemos un paso por delante? Construir un buen sistema de ciberdefensa, así como anticiparse a las amenazas, son elementos clave en la lucha contra el ciberdelito, pero ni la resiliencia ni la gobernanza son posibles sin planes de gestión de riesgos cibernéticos creíbles y sofisticados. “El cibercrimen es un hecho tanto nacional como internacional que se está extendiendo a gran velocidad, afectando a empresas, gobiernos y la sociedad en su conjunto. La escala y la complejidad de esta actividad delictiva tiene consecuencias perjudiciales y de gran alcance, y la situación se desdibuja a medida que los ciberdelincuentes operan, utilizando infraestructura técnica, a través de las fronteras nacionales”, dice el Dr. Edward Humphreys, experto en seguridad cibernética.
Las fallas de ciberseguridad han empeorado significativamente.
Como resultado, agrega, la colaboración internacional es esencial y los Estándares Internacionales son indispensables para la protección global. El Dr. Humphreys habla desde sus muchos años de experiencia empresarial. También es investigador senior especializado en investigación de riesgo cibernético, seguridad y psicología cibernética y estudios de innovación de ISMS, y el coordinador de ISO/IEC del grupo de trabajo responsable de la gestión, desarrollo y mantenimiento de ISO/IEC 27000, una familia de normas sobre sistemas de gestión de seguridad de la información (SGSI).
SOLUCIONES Y CONTROLES
Los Estándares Internacionales brindan soluciones, dice, permitiendo a las organizaciones establecer marcos y sistemas para evaluar y gestionar la situación, para proteger la información, asegurar las aplicaciones y los servicios, y la infraestructura nacional.
El primer paso para abordar el delito cibernético es conocer los riesgos que enfrenta y luego decidir los controles que deben implementarse para mitigar estos riesgos. Humphreys señala estándares como la familia ISO/IEC 27000, desarrollada por ISO y la Comisión Electrotécnica Internacional (IEC), como la opción de facto para cualquier organización que desee crear soluciones sólidas contra el ciberdelito. El conjunto de Normas Internacionales especifica un sistema de gestión que entra en el proceso de gestión de riesgos de evaluar los riesgos y luego determinar los controles necesarios para tratarlos.
El primer paso para abordar el ciberdelito es conocer los riesgos a los que se enfrenta.
“Existe una variedad de estándares que respaldan ISO/IEC 27001, como ISO/IEC 27005 sobre gestión de riesgos de seguridad de la información y las pautas de implementación de ISO/IEC 27003”, dice. “Y hay muchos otros estándares que brindan soporte técnico para ISO/IEC 27001, por ejemplo, para proteger redes e incorporar características de seguridad en tecnología, servicios y aplicaciones”.
ESTAR PREPARADO
El Dr. Humphreys reitera la necesidad de que las empresas estén preparadas y listas para enfrentar estos ataques. “Los ataques cibernéticos pueden tener lugar en cualquier momento y en cualquier lugar, y lo que es seguro es que estos ataques ocurrirán con seguridad, pero nunca podemos estar seguros de cuándo o dónde”, dice. “Estar listo y preparado es una actividad comercial esencial para la supervivencia. Se trata de que una empresa tenga en marcha un proceso para poder anticipar e identificar, detectar y reportar incidentes, y analizar estos incidentes para decidir cómo responder a ellos”. Todo esto debe hacerse de manera rápida y oportuna para limitar el impacto que podría causar el incidente.
Los ciberataques pueden ocurrir en cualquier momento y en cualquier lugar.
Entonces, ¿cómo pueden las empresas estar mejor preparadas? Una vez que una empresa detecta la presencia de un ataque de código malicioso o un ataque de denegación de servicio, cuanto más rápido responda con las medidas de seguridad adecuadas, mayores serán las posibilidades de limitar la propagación de estos ataques, así como el impacto y el daño. Y, como dice el Dr. Humphreys, existen estándares que ayudan a las empresas a estar listas y mejor preparadas para responder, como el estándar de gestión de incidentes ISO/IEC 27035, el estándar para la gestión de la continuidad del negocio ISO 22301 y el estándar de preparación para las TIC ISO/IEC 27031. .
ACCIÓN COLECTIVA
En un mundo ya incierto, el delito cibernético puede ser financieramente devastador, perturbador para las operaciones comerciales y la infraestructura nacional, además de afectar a los ciudadanos y la sociedad. Por ejemplo, un ataque a una parte de la cadena de suministro puede propagarse, interrumpir y dañar otras partes de la cadena. Para fomentar sistemas de ciberseguridad más seguros y resistentes, el Dr. Humphreys dice que la gestión de una cadena de suministro es un buen ejemplo de dónde se necesita una acción colectiva en todas las partes de la cadena para mantenerla segura.
“Nuevamente”, dice, “existen estándares que ayudan con la seguridad de la cadena de suministro, como ISO 28000 e ISO/IEC 27036. También se necesita una acción colectiva en varios escenarios que involucran relaciones comerciales y comunicaciones con otras organizaciones. Hay un grupo de estándares de gestión que ayudarán a desarrollar la resiliencia para contrarrestar la interrupción del negocio y garantizar la supervivencia y el sistema de gobierno. Estos incluyen ISO 22301 (sistemas de gestión de la continuidad del negocio), ISO/IEC 27001 (sistemas de gestión de la seguridad de la información) e ISO/IEC 27014 (gobierno de la seguridad de la información)”.
Con el crecimiento y la dependencia de la conectividad para las empresas, la infraestructura que la respalda y el uso de Internet y dispositivos móviles, existe una necesidad aún mayor de seguridad y resiliencia del sistema. El Dr. Humphreys reconoce que los estándares deben evolucionar para adaptarse a los rápidos avances tecnológicos. “La tercera edición de ISO/IEC 27002, por ejemplo, se publicó en el primer trimestre de 2022. Este estándar de alto perfil se ocupa de los controles de seguridad de la información y se ha actualizado para que coincida con el avance en tecnología, desarrollos y prácticas comerciales, y nuevos leyes y regulaciones."
En 2021, agrega, hubo muchos otros desarrollos en la estandarización, incluida la seguridad y privacidad de Internet de las cosas (IoT), la seguridad y privacidad de big data, la seguridad y privacidad de inteligencia artificial y la protección de información biométrica. Todo esto se complementa con especificaciones técnicas recientes como ISO/IEC TS 27570, que proporciona orientación sobre la protección de la privacidad del ecosistema de la ciudad inteligente, e ISO/IEC TS 27100, que especifica cómo crear o perfeccionar sistemas cibernéticos robustos para proteger contra ataques cibernéticos. La familia completa de normas ISO/IEC 27000 y estas especificaciones centradas en la tecnología son la base para construir y gestionar un futuro seguro.
Fuente: iso.org
