Contenidos
Seguridad de la autenticidad
Mientras los CISOs, CIOs y propietarios de negocios lidian con un panorama de amenazas más amplio y complejo, KPMG ve actualmente seis amenazas de riesgo y seguridad que queremos que las organizaciones conozcan en relación con el trabajo remoto en estos tiempos.
En la actual cultura del trabajo remoto, los CISO, los CIO y los propietarios de empresas tienen la tarea de mantener sus organizaciones a salvo de las amenazas a la seguridad. Vemos seis áreas de riesgo en las que centrarse en estos tiempos difíciles.
Con algunas de las consideraciones inmediatas y a corto plazo de las áreas clave relacionadas con el riesgo y la seguridad expuestas anteriormente, tenga en cuenta que la tecnología sólo puede llegar hasta cierto punto en la protección de sus activos más críticos. Es igualmente importante apoyar los cambios en el comportamiento humano, especialmente en lo que se refiere a la concienciación, la provisión de un apoyo fácilmente accesible y la evitación de la sensación de miedo y represalia.
Confidencialidad, integridad, disponibilidad y autenticidad
Tradicionalmente, las empresas de TI vigilan estrechamente la gestión y el control de los activos de información críticos. Sin embargo, un grupo de empresas de TI adoptó un enfoque diferente y formó una organización con el objetivo de compartir información crítica de seguridad de TI con sus pares de la industria (empresas de la misma industria que no compiten directamente) y con sus competidores para gestionar más eficazmente la seguridad de TI. La vulnerabilidad inherente al hecho de compartir información crítica con otras empresas (potencialmente competidoras) presenta una interesante paradoja de coopetición para las empresas. Partiendo de los fundamentos teóricos de la visión relacional de la empresa que resuelve la paradoja de la coopetición, realizamos una prueba empírica para determinar si el intercambio de información sobre seguridad influye en los resultados financieros de las empresas. Nuestros resultados sugieren que las empresas de TI que comparten información de seguridad entre empresas superan a sus pares de la industria en términos de costos operativos y rentabilidad general.
Definición de seguridad de la información
Atributos de Seguridad de la Información: o cualidades, es decir, Confidencialidad, Integridad y Disponibilidad (CIA). Los Sistemas de Información están compuestos en tres partes principales, hardware, software y comunicaciones con el propósito de ayudar a identificar y aplicar los estándares de la industria de seguridad de la información, como mecanismos de protección y prevención, en tres niveles o capas: física, personal y organizacional. Esencialmente, los procedimientos o políticas se implementan para indicar a los administradores, usuarios y operadores cómo utilizar los productos para garantizar la seguridad de la información dentro de las organizaciones[10].
El núcleo de la seguridad de la información es el aseguramiento de la información, el acto de mantener la confidencialidad, la integridad y la disponibilidad (CIA) de la información, asegurando que la información no se vea comprometida de ninguna manera cuando surjan problemas críticos[22]. Estos problemas incluyen, pero no se limitan a, los desastres naturales, el mal funcionamiento del ordenador/servidor y el robo físico. Aunque las operaciones empresariales en papel siguen siendo frecuentes y requieren su propio conjunto de prácticas de seguridad de la información, cada vez se hace más hincapié en las iniciativas digitales de las empresas,[23][24] y la garantía de la información suele estar en manos de especialistas en seguridad de las tecnologías de la información (TI). Estos especialistas aplican la seguridad de la información a la tecnología (casi siempre algún tipo de sistema informático). Vale la pena señalar que un ordenador no significa necesariamente un ordenador de sobremesa doméstico[25] Un ordenador es cualquier dispositivo con un procesador y algo de memoria. Dichos dispositivos pueden ir desde dispositivos autónomos no conectados a la red, tan simples como las calculadoras, hasta dispositivos informáticos móviles conectados a la red, como los teléfonos inteligentes y las tabletas[26] Los especialistas en seguridad informática casi siempre se encuentran en cualquier empresa/establecimiento importante debido a la naturaleza y el valor de los datos dentro de las empresas más grandes[27]. Son responsables de mantener toda la tecnología dentro de la empresa a salvo de los ciberataques maliciosos que a menudo intentan adquirir información privada crítica o conseguir el control de los sistemas internos[28][29].
Importancia de la ciberseguridad
Aunque los costes financieros de un ciberataque son elevados, el impacto social de los fallos de ciberseguridad es menos evidente, pero puede causar un daño duradero a los clientes, los empleados y su empresa. Los responsables de las empresas y de las tecnologías de la información que revisan sus inversiones en seguridad deben tener en cuenta el impacto de la ciberseguridad en la sociedad, así como en los resultados económicos, a la hora de calcular el impacto potencial de una brecha. Subestimar cualquiera de los dos impactos puede destruir una marca.
Aunque el año pasado los consumidores estadounidenses aumentaron su gasto en Internet en un 44% en comparación con el año anterior, muchos están dispuestos a castigar severamente a las marcas si se produce una brecha. De hecho, una cuarta parte de los consumidores afirmó que dejaría de relacionarse con una marca que sufriera una filtración.
Las violaciones de datos o los protocolos de ciberseguridad poco claros también tienen efectos psicológicos difíciles de medir. El ataque de ransomware WannaCry de 2017 provocó impactos en las infraestructuras críticas. Cuando el Servicio Nacional de Salud del Reino Unido fue violado, por ejemplo, las cirugías tuvieron que ser reprogramadas. Los ciberataques pueden considerarse tradicionalmente como algo que afecta a las instituciones financieras y no a los particulares, pero el ejemplo de WannaCry hizo que el problema fuera real para muchas personas. Demostró cómo podía exponer las vulnerabilidades de la infraestructura básica y, por lo tanto, aumentó la ansiedad de muchos.