Estas son el phishing, el ransomware, el Business Email Compromise (BEC), conocido como fraude al CEO, los ataques de denegación de servicios y las Amenazas Persistentes Avanzadas (APT). La solución para enfrentarlas debe estar focalizada en temas de gestión y aspectos técnicos.

Pese a que existen muchas amenazas en el ciberespacio que pueden afectar a las empresas, como el defacement de un sitio web, el acceso físico no autorizado, el uso fraudulento de datos personales, los ataques de fuerza bruta, la utilización de páginas web falsas, y la inyección de código, entre otros, este 2023 “las empresas debieran tener especial precaución con el phishing, el ransomware, el Business Email Compromise (BEC) -conocido como fraude al CEO-, los ataques de denegación de servicios y las Amenazas Persistentes Avanzadas (APT), sostiene José Antonio Lagos, profesor del diplomado en Ciberseguridad de UEjecutivos de la FEN U. de Chile. 

El phishing, técnica para engañar a los usuarios, cuyo fin es que revelen información confidencial; el ransomware, código malicioso que bloquea la utilización de equipos o sistemas y los infecta para secuestrar su información y luego pedir un rescate; y los ataques de denegación de servicios, que buscan privar a los usuarios de acceso a su red o equipo, para que el dispositivo no esté disponible para los usuarios a los que va dirigido, son amenazas constantes para todo tipo de empresas.

Sin embargo, un fenómeno que se incrementó el año 2022, y que hay que prestar atención es el BEC, que corresponde “a un ataque diseñado para obtener información comercial crítica o extraer dinero, a través de una estafa por correo electrónico”, dice Lagos.

¿Cómo opera? Las empresas reciben un correo electrónico de un proveedor habitual (usualmente del extranjero), que solicita efectuar un pago antes de iniciar una acción, por ejemplo, un embarque de productos. Este correo electrónico, que generalmente llega a alguien del área de Contabilidad, consiste en la petición de efectuar el pago de manera urgente, señalando, en este caso, que el embarque debe salir hoy a medianoche, pero primero se necesita el pago. En este caso, el proveedor menciona que el pago debe ser efectuado a otra cuenta corriente, engañando a las personas de Finanzas o Contabilidad, por lo que realizan una transferencia a un proveedor distinto del original, explica.

Otra de las amenazas que las organizaciones deben estar alerta son las APT. Lagos comenta que estas utilizan técnicas de hackeo continuas y avanzadas, para obtener acceso a los sistemas o aplicativos de una empresa, y pueden permanecer un periodo de tiempo prolongado. Al cumplir su misión, terminan con un impacto de índole financiero, reputacional y operacional, no previstos por la empresa víctima.

Enfrentar las amenazas

“Considerando que la magnitud del problema en ciberseguridad posee distintas visiones, ya sea desde el lado económico, político, legal, social y tecnológico, la solución debe ser holística, pero principalmente focalizada en temas de gestión y técnicos”, aclara Lagos.

Desde el punto de vista de gestión, se debe “establecer una gobernabilidad corporativa de Ciberseguridad efectiva, lo cual se traduce en incorporar directores independientes expertos en Ciberseguridad en las juntas directivas, además de directores que tratan el tema de Ciberseguridad periódicamente, y que el rol del directorio, es decir el monitoreo y supervisión hacia la administración, incorpore todos los aspectos de Ciberseguridad, con una visión holística y adaptativa”, explica.

Desde la mirada de operación técnica, “la incorporación de nueva tecnología para hacer frente a las nuevas amenazas es un factor crítico, lo cual llevará a las funciones de Ciberseguridad a vivir su propio proceso de transformación digital dentro de los cuales la inteligencia artificial y los algoritmos de machine learning, específicamente, serán los habilitadores claves de los nuevos mecanismos de protección para las empresas”, argumenta.

Al mismo tiempo, añadió que “una buena gestión de riesgos en Ciberseguridad, permitirá focalizar los esfuerzos y gestionar adecuadamente los riesgos. Distintas metodologías, darán una distinta pérdida esperada en caso de materialización de riesgos de Ciberseguridad, como es el caso si las empresas están utilizando COSO ERM, la ISO 31.000 o el modelo Factor Analysis Information Risk (FAIR)”.

Otro aspecto importante a considerar, es “el mejoramiento de la Cultura en Ciberseguridad como un medio de defensa, entendiendo que en realidad los colaboradores de una organización son el objetivo del ataque, por lo cual debemos convertirlos en mecanismo de defensa, llevando a la organización hacia una cultura digital y de Ciberseguridad, lo que permitirá poder tener una ventaja competitiva”.

Para que realmente una función de Ciberseguridad tenga éxito, debe avanzar en la ambidiestralidad o la ambi-cyber. “No solo nos debemos preocupar de proteger los activos en el día a día (explotación), sino que desde la mirada de la exploración, los aspectos de gestión de riesgos e innovación son críticos, para que realmente la Ciberseguridad se convierta en una ventaja competitiva en la economía digital y la empresa logre un rendimiento superior al promedio del mercado”, finaliza. 

 

Google News Portal Innova
Síguenos en Google Noticias

Equipo Prensa
Portal Innova

VIAS IMPORTACIONES 2024