MAESTRANTE: ROSA ELENA MARTÍNEZ GARCÍA

MATERIA: CONTROL INTERNO Y EXTERNO

RESUMEN
Con el pasar de los años se ha experimentado una transformación digital
que ha vuelto más exigente las operaciones de las empresas, permitiendo su
aprovechamiento una serie de ventajas pero también involucrando riesgos a la
seguridad que deben ser mitigados. El ESET SECURITY REPORT
Latinoamérica 2019 presentó un diagnóstico sobre el estado de la seguridad de
la información en empresas dentro de la región involucrando más de 3000
profesionales de la seguridad que se desenvuelven en diferentes
organizaciones e industrias. De estas empresas, un 61% registró incidentes de
seguridad, destacando la infección con códigos maliciosos donde 2 de cada 5
entidades fue afectada, siendo la mitad por ransomware.

No puede obviarse que los atacantes crean constantemente nuevos códigos

maliciosos, requiriéndose que las empresas evolucionen, fortalezcan su
seguridad y así eviten riesgos. Se suman como incidentes el acceso indebido a
la información (20%), explotación de vulnerabilidades (10%) y la Ingeniería
Social (15%), esta última relacionada a prácticas de manipulación de usuarios
legítimos mediante campañas que toman el nombre de marcas reconocidas,
reportándose además extorsiones por correo electrónico. Su proliferación ha
generado preocupación en las empresas, destacando el acceso indebido
(61%), el robo de información (58%) y la privacidad de la información (48%),
encontrándose también los códigos maliciosos (57%), vinculándose la mayoría
de ataques a un malware donde sus distintos fines y plataformas lo ubican
como la técnica preferida de los atacantes.

Descuidos o malas prácticas de seguridad facilitan la explotación de

vulnerabilidades y la ingeniería social, dejando en evidencia la importancia de
fortalecerla. Para ello se requieren de controles y políticas de gestión de la
seguridad de la información donde, si bien el 99% de empresas registran algún
control basado en tecnologías, apenas un 50% ha implementado los controles
básicos en conjunto (antivirus, backup y una solución de Firewall). Respecto a
las políticas de seguridad, 2 a de cada 5 empresas dispone de ellas y un 28%
clasifica su información, notándose así altos niveles de vulnerabilidad en las
entidades restantes. Este informe también muestra información sobre las
actividades de educación, variaciones de presupuesto y el desarrollo de
proyectos de seguridad en las empresas, prácticas direccionadas a minimizar
el riesgo, demostrando que aquellas con un CISO como responsable tienen un
escenario más apto para el desarrollo proyectos de seguridad, resultando más
común actividades de educación frente a aquellas donde existen un CEO o
CTO, estas dos últimas reduciendo incluso el presupuesto a la seguridad entre
el 11% al 13% mientras en las CISO apenas cae un 6%.

Si bien las empresas más comprometidas en su seguridad reportan menos

incidentes, aún existe resistencia a invertir en fortalecerla pues el 64%
catalogan el presupuesto como insuficiente, situación que caracteriza a las
PYMES donde un 53% de ellas lo ha reducido. En el panorama observado, las
empresas están cada vez más expuestas a ataques, no solo por la proliferación
de éstos, sino también por su capacidad de prevenirlos. Por ende, se requiere
un mayor compromiso de la administración, delegando la seguridad en su
infraestructura a personal más capacitado, dotándolo de los recursos
MAESTRANTE: ROSA ELENA MARTÍNEZ GARCÍA
MATERIA: CONTROL INTERNO Y EXTERNO

suficientes para desempeñar sus funciones y comprometiéndose hacia la

mejora continua de sus controles y políticas de gestión.

¿Cuáles son las principales preocupaciones?

El informe presenta que las principales preocupaciones de las empresas, en
orden de relevancia, son: El acceso indebido según el 61% de entidades
consultadas, seguido de los códigos maliciosos por el 57%, el robo de
información con el 58% y la privacidad de la información en un 48%.

¿Seleccione 1 preocupación que a usted le parezca más relevante?

Entre las mencionadas, la más relevante que considero son los códigos
maliciosos, pues la mayoría de ataques que vulneran la seguridad de las
empresas están relacionados a un malware. Es esto aquello que se constituye
en un reto para las organizaciones, las cuales deberían innovar
constantemente sus tecnologías, incluyendo sus políticas y planes de gestión,
evitando así riesgos.

¿Cuáles son las estadísticas de los incidentes que para usted son
relevantes?
El estudio destacó que 2 de 3 empresas sufrieron un incidente de seguridad
durante el año 2018 de las cuales un 40% reportó una infección con códigos
maliciosos, un 20% sufrió incidentes por acceso indebido a la información, un
15% por ingeniería Social y un 10% por explotación de vulnerabilidades. De las
estadísticas presentadas, las más relevantes que considero resultan en la
infección con códigos maliciosos, la ingeniería social y la explotación de
vulnerabilidades.

Sobre los códigos maliciosos, se constituyen en la principal técnica utilizada

por los atacantes para vulnerar la seguridad de las empresas, inclusive el
ransomware registró al año 2018 un total de 156 variantes no vistas en años
anteriores solo en la región latinoamericana, lo cual da a notar los esfuerzos
que los atacantes destinan a innovar su práctica delictiva. Si bien, los
incidentes por esta vía registran una reducción del 10% entre el periodo 2017-
2018, ello no significa que deba restársele importancia a su prevención.

Como se mencionó, otro más relevante es la ingeniería social, involucrando

la obtención de información confidencial mediante la manipulación de usuarios
legítimos. Esto resulta en un problema que se deriva por la falta de
conocimientos del público quienes proporcionan datos de acceso solicitados
por páginas o correos falsos, siendo incluso extorsionados, por lo cual debe
ponerse especial atención en este problema. Si bien los códigos de infección
aún son los más utilizados, la explotación de vulnerabilidades merece también
atención pues mantiene un incremento acelerado, reportando un aumento del
117% entre el periodo 2017-2018 lo cual deja en evidencia la capacidad de los
atacantes para encontrar debilidades en los sistemas de las empresas, los
cuales podrían ser más comunes a causa de reducciones en el presupuesto de
seguridad, carencia de actividades de educación y desarrollo de proyectos de
seguridad.

¿Qué dice de las empresas que dicen no tener incidentes?

MAESTRANTE: ROSA ELENA MARTÍNEZ GARCÍA
MATERIA: CONTROL INTERNO Y EXTERNO

Las estadísticas del informe muestran que el 39% de empresas no ha sufrido

incidentes lo cual supone que mantienen una infraestructura segura, invirtiendo
en tecnologías de control y mantienen políticas y planes de gestión de la
seguridad de la información. Estas empresas deberían ser también estudiadas
mostrando un informe donde se incluyan sus buenas prácticas y así sirvan
como referencia para las entidades que registran ataques.

¿Qué opina de la sección "implementación de controles"?

Esta sección deja en evidencia las debilidades en las empresas respecto a la

implementación de tecnologías que permitan reducir el riesgo de ataques a su
infraestructura. Resulta común que las organizaciones mantengan
implementada alguna medida básica de control pero, solo un 50% cumple con
las medidas elementales que son el antivirus, backup y una solución de firewall.
Es decir, el otro 50% tendrá implementada alguna de ellas significando un
riesgo a su seguridad.

Se registran además nuevas tecnologías para la protección pero su

adopción es baja, utilizando apenas el 13% un segundo factor de
autentificación, un 16% algún EDT y el 18% cifra su información. De las
empresas estudiadas, las del sector financiero están más enfocadas en
adoptarlas, situación que obedece a su elevado interés en proteger a sus
clientes, los recursos que maneja y la imagen que transmite a su público. Por lo
expuesto, en las empresas debe promoverse la inversión en estos controles,
incluso en la innovación, como una forma de prevenir futuros ataques.

¿Cuál es su principal conclusión?

A pesar de la importancia de disponer de una infraestructura que garantice la
seguridad en las empresas, reduciendo el riesgo a ataques cibernéticos, es
posible notar que la cifra de afectados resulta elevada. Los incidentes se
proliferan y los atacantes también innovan en las formas como vulnerar la
seguridad de las empresas. Entonces, se requiere también que las diferentes
entidades innoven, fortaleciendo sus controles, no solo adoptando medidas
básicas, sino también nuevas tecnologías que incrementen la protección. A ello
deben sumarse las políticas y planes para gestionar la seguridad de la
información, mismos que permiten responder en mejor forma ante incidentes,
además de identificar fallas para prevenirlos.

Inclusive la forma como se organizan resulta relevante pues aquellas que

poseen un CISO como responsable de la seguridad registran un escenario más
apto para el desarrollo de una estrategia integral de seguridad, puesto que el
índice de actividades periódicas de educación es mayor, tienen una menor
incidencia en la reducción de su presupuesto para la seguridad y mantienen,
con mayor frecuencia, proyectos de seguridad en marcha comparadas con
aquellas que poseen un CEO o CTO. Este panorama las vuelve menos
propensas a sufrir incidentes, por ende las empresas deben enfocarse también
en disponer de una forma de organización que les permita evitar, en forma más
efectiva, posibles riesgos. Además, resulta relevante que destinen un
presupuesto suficiente a la seguridad, especialmente las PYMES, y así poder
invertir en su infraestructura tecnológica para la protección.