Ciberseguridad

¿Es su red de seguridad lo suficientemente

fuerte?
Contenido

02 Prefacio
03 Resumen ejecutivo
04 Ser realista sobre el aumento del riesgo cibernético
08 Bring it on: medir la preparación para las infracciones
cibernéticas
11 ¿Confianza o complacencia?
14 No si, sino cuándo : cinco pilares de la defensa
20 Fortalecimiento de la red de seguridad cibernética
22 Metodología
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars1
Prefacio
Ciberseguridad: un delicado acto de equilibrio
Las amenazas cibernéticas están a nuestro
alrededor. Esto no es paranoia, es una realidad
desafortunada: cada día trae nuevos hackeos,
nuevas fugas de datos, nueva vergüenza y nuevos
costos, tanto financieros como comerciales. Nadie
se salva. Los ataques se dirigen a empresas
grandes y pequeñas, así como a instituciones del
sector público y particulares. Colectivamente,
estamos mejorando en la prevención y detección
de robos cibernéticos y
limitando su daño, gracias en parte a las soluciones
tecnológicas, pero también debido a una mayor
conciencia de los peligros del phishing y otras
técnicas clásicas de piratería . Sin embargo, ningún
sistema es infalible. Los avances tecnológicos que
pueden protegernos también proporcionan a los
ciberdelincuentes herramientas más avanzadas,
incluida la inteligencia artificial, que pueden
mantenerlos varios pasos por delante de las
organizaciones a las que se dirigen.
Dado ese contexto, este informe toma como punto
de partida la inevitabilidad de ser atacado. La
seguridad cibernética ya no es una cuestión de si,
sino de cuándo. Eso puede equivaler a un cambio
de mentalidad para muchos líderes empresariales,
pero creemos que es importante hacerlo. En
nuestra opinión, el realismo de ojos fríos es la mejor
estrategia de defensa cibernética, ya que informará
cada uno de los cinco aspectos operativos clave
que deben implementarse para salvaguardar los
datos de la empresa. Estos cinco pilares son:
identificación, prevención, detección, respuesta
y recuperación.
Una prueba de fuego para la resiliencia
organizacional
Una encuesta que realizamos a más de 1,000
ejecutivos en todo el mundo en diciembre pasado
para nuestro barómetro anual de C-suite enfatizó
cómo la seguridad cibernética es ahora una
preocupación importante entre los líderes
corporativos. Más de la mitad de los encuestados
nos dijeron que los riesgos cibernéticos han
aumentado en el último año, y
más de un tercio se están preparando para
violaciones de datos en los próximos 12 meses. Sin
embargo, la misma encuesta mostró que la alta
dirección tiene un nivel de confianza en su
La capacidad de la propia empresa para resistir
ataques que pueden parecer sorprendentes, tal vez
incluso paradójicos. ¿Saben algo que sus propios
departamentos de TI no saben?
Probablemente no. Sin embargo, estos hallazgos
sugieren que la seguridad cibernética se ha
convertido en un delicado acto de equilibrio para
muchas empresas, similar a un paseo por la cuerda
floja: sí, es peligroso, pero lo importante es
construir una red de seguridad sólida que pueda
amortiguar. cualquier eventual caída.
Muchas herramientas que pueden ayudar a
identificar, prevenir y detectar violaciones
cibernéticas ahora están disponibles. Los CEOs
pueden poner números para las actualizaciones de
la junta en torno al gasto
así como ejemplos que ilustran su supuesta
preparación. La respuesta y la recuperación
después de un ataque son mucho más difíciles,
dado que cada violación puede ser diferente. Sin
embargo, la forma en que una empresa o una
institución del sector público reacciona a los
ciberataques es una prueba esencial de estrategia
y liderazgo. Esperar hasta que llegue una crisis
antes de elaborar un plan de respuesta efectivo es
como tratar de colgar la red de seguridad mientras
tropiezas. Y la capacidad de una organización
para recuperarse de
un colapso cibernético puede ser difícil de medir
antes de que se pruebe en la vida real.
En ese sentido, la ciberseguridad es un indicador
revelador de la salud de la organización. Si las
habilidades que necesita para lidiar con las
amenazas cibernéticas no están aisladas de los
equipos de TI o comunicaciones, sino que
impregnan todo su
organización—y si usted respuesta a a brecha está
bienplanificado y pozo ejecutado: el probabilidad es
ese túson más saludables y más resistentes en su
conjunto. Hallazgo tus pies y mantener el equilibrio en
ciberseguridad Hace para bien negocio en general.
Robert Kastenschmidt
Socio y Jefe de Consultoría, Mazars
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars2
Resumen ejecutivo
Los líderes empresariales de todo el mundo
se están preparando para los ataques
cibernéticos, pero siguen confiando en que
pueden resistirlos.
Más de la mitad de los líderes empresariales
encuestados en nuestro barómetro anual de C-
suite ven un aumento en las amenazas
cibernéticas durante el año pasado, y el 35 por
ciento espera una violación de datos significativa
en su propia empresa en el próximo año. La
preocupación es global, aunque más pronunciada
en las grandes empresas con más de 1.000
millones de dólares en ingresos anuales. No
obstante, la mayoría de las empresas parecen
confiar en su capacidad para
hacer frente a los ataques: a nivel mundial, el 68%
de los líderes empresariales consideran que los
datos de su empresa están "completamente
protegidos". En los Estados Unidos, esa cifra se
eleva hasta el 80%.
Las pérdidas financieras son el mayor
riesgo percibido.
Más de la mitad de los líderes empresariales
que encuestamos sitúan las pérdidas
financieras en la parte superior de la lista de los
mayores riesgos de protección de datos,
seguidos de
riesgo de cumplimiento, (44%). Solo un tercio citó
preocupaciones sobre la reputación y la continuidad
del negocio. Los niveles de preocupación y
confianza varían de una industria a otra, siendo las
finanzas, la tecnología y las empresas de consumo
las más seguras, potencialmente porque son las
más expuestas dado su manejo de los datos de los
consumidores a menudo confidenciales.
La seguridad cibernética
va mucho más allá del
cumplimiento.
Los escenarios de crisis
deben probarse, volver
a probarse y mejorarse
continuamente.
La ciberdefensa eficaz se basa en cinco
pilares: identificación, prevención,
detección, respuesta y recuperación.
Cada uno tiene un componente tecnológico
importante, pero igualmente cada uno tiene un
componente humano crítico. Conocer las
vulnerabilidades de su propio sistema y ser capaz
de detectar patrones inusuales es un punto de
partida tanto para la prevención como para la
detección. Las soluciones tecnológicas pueden
incluir la segmentación de las redes informáticas
para poner capas adicionales de seguridad
alrededor de los datos más confidenciales y
extensas copias de seguridad fuera de línea, pero
todos, desde la alta gerencia hasta el personal a
tiempo parcial, deben someterse a capacitación
frecuente y recordatorios de los riesgos. Un plan de
comunicaciones detallado y bien probado es
esencial para una respuesta efectiva, tanto para uso
interno como para llegar a clientes, proveedores,
reguladores y cualquier persona en su ecosistema
de datos.
Los planes de continuidad del negocio deben
haber sido cuidadosamente elaborados y
probados exhaustivamente para que puedan ser
adoptados sin problemas por el
toda la organización.
Cambiar la mentalidad para prepararse
para lo peor es la mejor defensa.
La seguridad cibernética es un campo en rápida
evolución, con atacantes ahora fuertemente
armados (incluso con IA) y, a menudo, dos pasos
por delante de las organizaciones en su punto de
mira. Vigilancia tecnológica combinada con
esfuerzos de educación continua y juegos de
guerra permanentes
de los escenarios pueden evitar algunos de los
problemas. La regulación está creciendo;
cada vez más, las empresas de muchos
sectores tienen la obligación de informar sobre
su preparación cibernética y notificar sobre
infracciones. Pero la seguridad cibernética va
mucho más allá del cumplimiento.
Los escenarios de crisis deben probarse, volver a
probarse y mejorarse continuamente. Aceptar que
las violaciones de datos ocurrirán y tener planes
sólidos para manejarlas proporciona la mejor
garantía de que la respuesta será rápida, la
recuperación efectiva y los costos limitados.
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars3
Capítulo 1
Ser realista sobre el aumento del riesgo cibernético

Los líderes empresariales están preocupados por las crecientes amenazas

cibernéticas, y más de uno de cada tres se prepara para un ataque
significativo en los próximos 12 meses.
 Ser realista sobre el aumento del riesgo cibernético

Las amenazas cibernéticas son reales, peligrosas

y cada vez más agudas. Esa comprensión está
ahora muy extendida entre los líderes Más de la mitad de los
empresariales. Nuestro barómetro C-suite mostró encuestados cree que el
que más de la mitad de los encuestados cree que riesgo de seguridad
las amenazas cibernéticas a sus organizaciones

54%
cibernética para su
han aumentado en los últimos doce meses, y el 35 organización ha
por ciento espera una violación de datos aumentado en los
significativa durante el próximo año. últimos 12 meses.
Estos números generales enmascaran diferencias
significativas según el tamaño y la ubicación de la
empresa. Las grandes empresas con más de $ 1
mil millones en ingresos anuales son las más
preocupadas: dos tercios de ellas ven amenazas
crecientes, en comparación con poco menos de la
mitad de las empresas en los $ 1 Más que a Tercero pensar

35%
rango de millones a $ 100 millones. Y la conciencia una violación de datos
del riesgo es más alta tanto en los Estados Unidos significativa en los
como en Europa, con más del 60% viendo peligros próximos 12 meses
crecientes. es probable.

Cambio en el riesgo de seguridad cibernética

Porcentaje de encuestados por banda de ingresos

$1.000 millones 8 10 18 40 24

$100m-$1bn 9 12 25 32 22

$1m-$100m 10 17 25 30 18

Significativamente Algo reducido Sin cambios/no lo sé Algo aumentado Significativamente

reducido aumentado

P: ¿Cómo Tiene cambiado el riesgo de seguridad cibernética para su organización en los últimos 12 meses?
$1m-100m, n=432; $100m-$1bn, n=350; $1bn+, n=348
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars5
Ser realista sobre el
aumento del riesgo
cibernético
Pequeñas empresas, grandes amenazas

El hecho de que seas una empresa pequeña no

significa que tus riesgos de ciberataques sean
menos importantes que para las grandes empresas.
Así no es como funcionan las amenazas
cibernéticas. Los delincuentes que atacan su
sistema de TI no discriminan: investigan a todos en
busca de vulnerabilidades, independientemente de
su tamaño. Y de alguna manera, las pequeñas
empresas están en mayor riesgo. Tienden a tener
menos personal con capacidades de seguridad
cibernética para ayudar
proteger sus sistemas. Y pueden carecer de los
rigurosos controles internos para identificar y
detectar las amenazas que muchas organizaciones
más grandes tienen en su lugar.
Sin embargo, la naturaleza de la desestabilización
puede ser diferente para las empresas más
pequeñas. Los ataques de ransomware, que
bloquean a los usuarios de un sistema hasta que se
paga el dinero, tienden a centrarse en grandes
corporaciones o instituciones, incluso en el sector
público. Del mismo modo, los ataques de
denegación de servicio (DoS), que inundan los
objetivos con tráfico o desencadenan un bloqueo
con una sobrecarga de información,
tienden a estar dirigidos a jugadores más grandes.
Sin embargo, el phishing clásico y el fraude de
CEO, o "phishing de ballena", que consiste en un
hacker que se hace pasar por un alto ejecutivo con
la esperanza de persuadir a un empleado o
contratista para que divulgue información valiosa por
correo electrónico, son comunes a todas las
empresas, pequeñas y grande.

De alguna manera, las

pequeñas empresas están en
mayor riesgo, ya que tienen
menos personal con
capacidades de seguridad
cibernética y pueden carecer
de los controles internos
para identificar y detectar
amenazas.
Las tecnologías digitales, y especialmente las Mazars 6
plataformas digitales como las operadas por
Amazon, Facebook y otras, han permitido a las
pequeñas empresas ampliar su alcance en todo el
mundo. Estas plataformas pueden proporcionar una
protección cibernética más fuerte para las empresas
en sus plataformas de lo que muchas empresas
pueden lograr.
puestos en marcha por su cuenta. Pero ciertamente
no garantizan la inmunidad. Para todas las
empresas, la TI más vulnerable que tiene es el
sistema que utiliza para conectarse al mundo
exterior. Y en un mundo que gira en torno a la
relevancia, la puntualidad para el mercado y la
innovación, las pequeñas empresas necesitan
lograr un equilibrio difícil: cómo actualizar y cambiar
sus sistemas de TI para mantenerse al día con los
requisitos de marketing. sin crear innecesariamente
nuevas vulnerabilidades.

Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte ?

Ser realista sobre el aumento del riesgo cibernético
Pequeñas empresas, grandes amenazas

Entonces, ¿qué pueden hacer las empresas más
pequeñas para protegerse dadas sus limitaciones
de tamaño? Sus posibilidades son intrínsecamente
más limitadas, porque las pequeñas empresas
tienen menos recursos que las grandes, tanto en
términos de dinero como de experiencia
cibernética. Eso hace que sea primordial que las
empresas más pequeñas se centren en las
medidas más fuertes pero también más simples
posibles. Destacan tres :
Primero, sea anticuado: haga una muy buena copia
de seguridad de sus datos con un espacio de aire.
En otras palabras, almacene una copia completa de
sus datos clave sin conexión, en un lugar seguro,
para que pueda recuperarlos en caso de un ataque
debilitante.
En segundo lugar, segmente los datos en
subsectores para evitar que una intrusión en su
sistema contamine todos sus datos. La
segmentación no es una solución costosa del
sistema de TI , pero es fuerte y muy relevante
para las pequeñas empresas.
Finalmente, manténgase informado y adaptable.
Algunas pequeñas empresas piensan que pueden
poner en marcha un sistema de seguridad
cibernética y luego dejar de preocuparse. Ese es
un enfoque equivocado: todas las empresas deben
mantenerse alerta. Organizar las comunicaciones
con los proveedores de TI y las partes interesadas
cuando usted o ellos tienen un incidente es una
necesidad. Y es esencial mantenerse informado
sobre las nuevas amenazas y riesgos cibernéticos.
En el mundo de la ciberseguridad, no es
imposible protegerse si eres pequeño. Pero se
necesita mucho trabajo de pies cuidadoso.
Jan Matto
Socio, Mazars
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars7
Capítulo 2
Tráigalo: medir la preparación para la seguridad cibernética

A pesar de su preocupación por los riesgos cibernéticos, la mayoría de las empresas

expresan confianza en su capacidad para protegerse en caso de un ataque.
Medición de la preparación para la seguridad cibernética

Para los ejecutivos de alto nivel en todo el mundo, el

riesgo cibernético en gran medida Traduce en
miedo de financiero riesgo. Más que mitad delos Más de dos tercios
líderes empresariales que encuestamos ponen

68%
confían en que sus
finanzas pérdidas en la parte superior de la lista de datos están
los datos más grandes protección Riesgos Seguido completamente
por conformidad riesgo (44%). Justo un tercio citado protegidos. Otro 29%
Preocupaciones acerca de reputación y negocio dice que sus datos están
continuidad. parcialmente protegidos.
Al mismo tiempo, la confianza en poder resistir los
ciberataques es alta, con más de dos tercios de
los líderes empresariales, el 68%, diciéndonos
que sienten que los datos de su organización están
"completamente protegidos". Un corte geográfico
de la encuesta
Los resultados muestran que la confianza es más
alta en los Estados Unidos, donde el 80% de los
encuestados sienten que sus datos están
completamente protegidos.

Mayores riesgos de ciberseguridad y

protección de datos
Porcentaje de encuestados

Pérdidas 56

financieras 44

Riesgos de 36

cumplimiento
36

Reputació 24

n Continuidad del

negocio Daño

social

P: ¿Cuáles De de los siguientes sonido los MAYORES riesgos para su organización con respecto a la seguridad cibernética
y la protección de datos? Total n=1130

Seguridad cibernética: Eso su red de seguridad Mazars 9

lo suficientemente fuerte?
Medición de la preparación para la seguridad cibernética
Mantener las luces encendidas: preparación cibernética del sector público

Los peligros cibernéticos que acechan en las los sistemas son los más vulnerables al
sombras para sector privado Empresas son no ransomware y otros ataques. Al mismo tiempo,
menos de a amenaza Para nacional y local estas organizaciones tienden a no tener la
gobierno y Otro públicosector organizaciones—y financiación para actualizar todo a la tecnología
en alguno Maneras más así que. más reciente.
Los datos que estas organizaciones poseen a
Una segunda desventaja es que incluso aquellas
menudo son intensamente privados y
organizaciones del sector público más conscientes
confidenciales, que van desde detalles de la
de los riesgos y que buscan construir defensas
seguridad social y declaraciones de impuestos
más fuertes pueden tener dificultades para
hasta información educativa.
reclutar a los expertos cibernéticos que necesitan
y registros de salud y justicia penal. En casos
para poner en práctica sus aspiraciones. Los
extremos, la seguridad nacional puede verse
especialistas cibernéticos tienen un gran valor de
comprometida, si la infraestructura clave, como
mercado en todas partes, a menudo mucho más
las centrales eléctricas o incluso
allá del alcance de los presupuestos públicos. E
las instalaciones de defensa son atacadas. Dicho
incluso si un
sin rodeos , cuando se trata de riesgos del sector
La organización recluta o capacita a personas
público, solo está a un incidente importante de
competentes, a menudo son cazadas furtivamente.
apagar las luces.
Mucho se puede y se está haciendo con un uso
Las violaciones cibernéticas altamente
cuidadoso de los recursos. Las organizaciones
publicitadas en organizaciones locales o
cibernéticas nacionales comparten las mejores
nacionales en muchos países en los últimos años
prácticas y más. En el Reino Unido, por ejemplo,
han creado conciencia sobre los riesgos a los que
el Centro Nacional de Seguridad Cibernética
se enfrentan las instituciones del sector público.
proporciona herramientas de seguridad
Un desafío particular es
cibernética "ejercicio en una caja" y muchos
"ransomware": un tipo de malware que cifra los
otros recursos para ayudar a las organizaciones
archivos en un dispositivo o red, haciéndolos
del sector público a prepararse. La alta dirección
inutilizables.
de la administración pública es ahora muy
Los perpetradores luego exigen un rescate a
consciente del riesgo cibernético y está haciendo
cambio del descifrado, a menudo amenazando con
más para evaluar las vulnerabilidades y probar
vender o filtrar datos o información de
y aportar ayuda externa cuando sea útil para
autenticación si no se paga el rescate. Pagar o
mejorar las defensas. La capacitación en
no pagar es un acto de malabarismo imposible
sensibilización para todo el personal se ha
para la organización afectada: ¿cómo reaccionaría
acelerado. En algunos países, la planificación de
el público a la idea de recompensar a los
la respuesta instantánea está muy avanzada, y los
delincuentes con el dinero de los contribuyentes?
planes de recuperación ante desastres y
Para defenderse, las organizaciones del sector continuidad del negocio están en su lugar, al
público deben fortalecer los mismos cinco pilares menos sobre el papel. Sin embargo, como
que el sector privado también necesita apuntalar, a continúan demostrando las violaciones
saber, la identificación, la detección, la prevención, cibernéticas en curso en las instituciones públicas
la respuesta y la recuperación. Sin embargo, el de todo el mundo , nunca es suficiente.
sector público se enfrenta a algunos desafíos Mantener esas luces encendidas sigue siendo una
particulares al hacerlo. cuestión de mayor vigilancia sin parar, más
recursos, más capacitación y ciclos interminables de
En primer lugar, los propios sistemas pueden ser
pruebas.
altamente vulnerables. Para muchas
organizaciones del sector público, los sistemas de Antón Yunussov
TI son un mosaico de lo antiguo y lo nuevo, y el Experto en ciberseguridad, Mazars
legado

Seguridad cibernética: Eso su red de seguridad Mazars10

lo suficientemente fuerte?
Capítulo 3
¿Confianza o complacencia?

Muchas empresas, especialmente aquellas en sectores que tienen acceso a

información confidencial de los clientes, han implementado una sólida protección
cibernética en los últimos años. Pero a veces hay una brecha entre la realidad de TI y
la confianza de los gerentes sobre el alcance de la protección.
¿Confianza o complacencia?

¿ Cómo explicar la aparente desconexión en la alta

dirección entre el creciente miedo a las amenazas
cibernéticas y la confianza aparentemente sólida
entre los líderes empresariales de que sus empresas
están bien protegidas? Notamos una
desconexión similar en una encuesta sobre datos
que realizamos el año pasado: cuatro de cada cinco
ejecutivos a cargo del gobierno de datos dijeron que
su empresa era más madura que sus competidores.
Al mismo tiempo, muchas de esas empresas
simplemente no cumplieron con las mejores
prácticas que sustentan la madurez de los datos,
particularmente con respecto a la calidad de los
datos, un ingrediente esencial para la destreza
digital.

La realidad cotidiana en los

departamentos de TI es
cada vez más compleja y
llena de riesgos.
Es posible que un universo paralelo esté tomando
forma en las empresas: mientras los altos
directivos hacen planes de gobierno en la creencia
de que pueden o han logrado un alto nivel de
cumplimiento de seguridad, la realidad cotidiana en
los departamentos de TI es cada vez más compleja
y llena de riesgos. La tecnología y la pandemia de
Covid-19 ayudan a explicar este último estado de
cosas: si el mantra de la oficina en 2019 era "traiga
su propio dispositivo", hoy, en parte debido a la
tendencia de trabajar desde casa, eso ha
cambiado a "traiga su propia nube".

Al mismo tiempo, un número creciente de

empresas, especialmente en los sectores más
expuestos, como
como banca y comercio minorista, han
acumulado una profunda comprensión tanto
de los riesgos como de la
estrategias de respuesta y recuperación en toda la
organización que se necesitan para hacer frente de
manera efectiva a las amenazas cibernéticas. En
esa medida, están surgiendo mejores prácticas que
informan las conclusiones de este informe.

Mazars12
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte ?
¿Confianza o complacencia?
Minoristas: confianza cuidadosa después de años de experiencia
"Cuando manejas datos privados de clientes,
incluidos los números de tarjetas de crédito, tienes
que estar bastante seguro de ti mismo. Y los
minoristas se están tomando la seguridad
cibernética muy en serio, lo han estado haciendo
durante años. Es por eso que parecen confiados.
El riesgo cibernético en el comercio minorista
aumentó durante la pandemia porque hubo un gran
aumento en el comercio electrónico. Al mismo
tiempo, la importancia y la intensidad del cuidado
que los minoristas toman con los datos también
aumentaron. Todos los grandes minoristas ahora
tienen especialistas en seguridad cibernética
internamente y su inversión en seguridad se aceleró
en los últimos dos o tres años. Por lo tanto, incluso a
medida que aumentan los riesgos, la forma en que
los manejan ha mejorado.
Lo importante es tener un plan integral. Siempre es
un shock cuando te atacan, pero no debe ser algo
que te paralice, porque te preparaste para ello.
Necesitas estar listo no solo desde una
perspectiva tecnológica. Necesitas un Plan B
para negocios
continuidad. Y necesita un gran plan de
comunicaciones, especialmente si los datos del
cliente se ven comprometidos, ya que eso puede
poner en peligro su imagen. Si alguna vez sucede,
necesitas las palabras correctas. Debes ser lo más
transparente posible.
Eso es cierto para el sector en su conjunto, pero hay
diferencias. A veces es una cuestión de escala, y a
veces una cuestión de generación. Si usted es un
nativo digital, todos sus sistemas han sido
diseñados para ser seguros y pueden escalar de
forma segura. Es muy diferente si eres un minorista
clásico y necesitas ingresar al mundo digital.
Mi conclusión es que nunca se puede decir, así
que prepárate. Este es un sector en riesgo todo el
tiempo".
Isabelle Massa
Socio, Mazars
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars13
Capítulo 4
No si, sino cuándo: cinco pilares de la defensa

Una defensa sólida contra los ataques cibernéticos depende de su capacidad para
identificar, prevenir y luego detectar ataques. La respuesta y la recuperación
posteriores al ataque deben planificarse cuidadosamente y probarse exhaustivamente.
No si, sino cuándo
Cinco pilares de la defensa

La defensa inteligente contra las ciberamenazas tiene cinco pilares: identificación, prevención, detección,
respuesta y recuperación. Cada uno de estos pilares contribuye al equilibrio general de la seguridad
cibernética de una empresa, ayudándola a gestionar el riesgo organizando la información, permitiendo
decisiones de gestión de riesgos, abordando amenazas, aprendiendo de actividades anteriores y, como
resultado, volviéndose más resistentes. Cada uno de los pilares tiene un componente tecnológico importante,
pero igualmente cada uno tiene un componente humano crítico. La realidad de la tecnología de TI y los
factores humanos van de la mano. Ambos requieren paciencia, capacitación, inversión y pruebas
exhaustivas.

Pilar 1: Identificación Pilar 2: Prevención

Desarrolle la comprensión organizativo que el
permitirá administrar los riesgos de seguridad
cibernética para los sistemas, activos, datos y
capacidades.
Un primer paso crítico para una empresa es
conocerse a sí mismo. Gran parte del trabajo
pesado aquí debe ser realizado por el equipo
de TI: identificar y mapa todas las fuentes de
datos, el grado de
sensibilidad en torno a estos datos, y todas las
vulnerabilidades potenciales del sistema que
podrían exponerlos.
El mapa interno es solo un comienzo: debe
complementarse con una comprensión detallada
de las fuentes externas de contagio potencial, de
los proveedores y otras partes interesadas a lo
largo de toda la cadena de suministro.
Más allá de tener la infraestructura de TI
adecuada, el mapeo requerirá experiencia
humana. ¿Tienes un las personas adecuadas en
tú equipo de TI para llevarlo un cabo? ¿Y qué
tipo de información sobre los riesgos y amenazas
diarios debe transmitirse un la gerencia?
Estas sonido las preguntas centrales que toda
empresa necesita respuesta .
Desarrollar e implementar salvaguardas
apropiadas para garantizar la prestación de
servicios de infraestructura crítica.
Múltiples soluciones técnicas están disponibles
para ayudar a proteger los sistemas de TI y
garantizar que sigan funcionando normalmente
incluso frente a ataques.
Estas soluciones pueden incluir estrategias de
segmentación que consisten en dividir las redes
informáticas en subsecciones para evitar el
contagio del sistema. Los datos más importantes
se pueden buscar como parte de una estrategia
de segmentación.
Aumentar la conciencia humana sobre los
riesgos diarios es un aspecto no menos
esencial que se puede lograr a través de
programas educativos y "phishing" regulares y
otras pruebas internas. La autenticación
multifactor para los usuarios es una herramienta
valiosa que permite a las empresas duplicar el
fraude de los usuarios y, al mismo tiempo,
mejorar la ciberhigiene de los empleados.

Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars15

No si pero cuando
Cinco pilares de la defensa

Pilar 3: Detección
Desarrollar e implementar actividades apropiadas
para identificar cuándo se Tiene producido una
violación de la ciberseguridad.
Las auditorías de seguridad cibernética
pueden proporcionar perspectivas externas
útiles sobre la efectividad de las salvaguardas
del sistema. Los imperativos incluyen
comprender la exposición potencial de su
empresa, tener las herramientas para
monitorear la actividad de la rojo; y ser
capaz de detectar anomalías en tiempo real y
escalar donde sea necesario.
Se requiere más que personal de TI para
participar en estos esfuerzos: se necesitan
gerentes bien capacitados en todos los niveles,
para poder detectar problemas y saber a quién
alertar.

Las auditorías de seguridad

cibernética pueden proporcionar

perspectivas externas útiles

sobre la efectividad de

salvaguardas del sistema.

Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte ?

Mazars16
No si, sino cuándo
Cinco pilares de la defensa
Pilar 4: Respuesta
Desarrollar y implementar acciones apropiadas en caso
de una violación de seguridad cibernética detectada.
Una vez que se detecta una intrusión, la
respuesta técnica para aislarla y neutralizarla
debe ser extremadamente rápida. Una
estrategia de segmentación efectiva limitará
el daño protegiendo el
datos más esenciales de la contaminación.
Ya en esta primera etapa, comprender qué datos
y sistemas se él visado comprometidos es Uno
imperativo que informará los próximos pasos.
Detener el daño de TI es inevitablemente el
enfoque inicial, pero muchos otros pasos
deben seguirse :
en una sucesión rápida y cuidadosamente
planificada. La comunicación eso clave: los
líderes empresariales necesitan llegar un la
gerencia y al personal a los clientes, un los
proveedores y a otros en su ecosistema de
datos,
y, cada vez más, a los reguladores. De hecho,
la rápida evolución de la regulación un ambos
lados del Atlántico está exigiendo a las empresas
de una variedad de sectores no solo que
informan sobre las infracciones cibernéticas, sino
que muestren el alcance de su rojo de seguridad
cibernética y permitan que se va un probar.
Dada la forma en que las redes se encuentran en
el corazón de nuestra economía cada vez más
digital, eso no eso sorprendente: una violación
cibernética nunca es un evento aislado, sino que
puede propagarse rápidamente a otros. Nadie
vuela solo en el mundo digital: un solo trapecista
que pierde el control puede desequilibrar a todos
en el equipo.
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars17
Pilar 5: Recuperación
Desarrollar e implementar las acciones
adecuadas que puedan permitir un retorno a la
normalidad después de una violación de la
seguridad cibernética.
De alguna manera, la recuperación es la más
difícil de planificar y probar con anticipación, ya
que mucho depende del alcance de la violación
cibernética y el daño que causa, a los datos, a los
clientes y a la reputación. Sin embargo, podría
decirse que también es el más importante: poder
reanudar los negocios como de costumbre eso
una misión crítica. Aquí también, la tecnología
ofrece algunas soluciones. Estos incluyen
sistemas de copia de seguridad fuera de línea que
se pueden activar rápidamente para restaurar el
funcionamiento normal de TI. Muchas otras partes
de Uno negocio necesitan unirse en torno un Uno
plan de recuperación probado y comprobado. La
continuidad del negocio eso la consigna: ¿qué se
necesitará para recuperarlo?
¿Tu equilibrio en el cable alto si un ciberataque te
derriba temporalmente? Los Aviones de
continuidad del negocio diferirán de un sector
un otro y de una empresa a otra, y solo
pueden funcionar bien si han sido
cuidadosamente probados y vueltos a probar con
mucha antelación, no solo desde una perspectiva
de sistemas sino también desde una perspectiva
humana. Los gerentes deberán poder cambiar al
Plan B sin tanto como Uno
hipo. Y cada vez más, los reguladores exigen que
demuestre que puede sobrevivir a los ataques
cibernéticos y seguir operando.
No si, sino cuándo
Regulación de la ciberseguridad: un campo en rápida evolución

La seguridad cibernética no es solo un problema de empresa por empresa. Cada vez

está más sujeta a regulación, tanto nacional como internacional, que abarca
cuestiones que van desde la gestión de riesgos hasta la notificación obligatoria de
incidentes cibernéticos. A medida que crecen los riesgos cibernéticos, esa regulación
está evolucionando.
A continuación exploramos las nuevas piezas clave de legislación a ambos
lados del Atlántico.

UE: Directiva NIS2 entidades que pueden no haber estado previamente

cubiertas por la regulación del mercado financiero,
La primera Directiva de seguridad de las redes y de
junto con empresas más tradicionales como las
la información (NEI) de la UE se adoptó en 2016. Se
instituciones de crédito, las instituciones de pago y
centró en el fortalecimiento de las capacidades
las instituciones de dinero electrónico. Como
nacionales de ciberseguridad, el establecimiento de
resultado, significará un mayor papel para las
la colaboración transfronteriza y la puesta en
agencias de supervisión, que deberán aumentar su
marcha de la supervisión nacional de la
propia conciencia cibernética. La Comisión de la
ciberseguridad en sectores críticos como la energía,
UE propuso por primera vez
el transporte, el agua, la salud, la infraestructura
este reglamento en 2019. Mientras tanto, ha sido
digital y el sector financiero. En 2021, la Comisión
objeto de varias rondas de consultas. La idea era
Europea propuso reemplazarlo por una versión
llenar un vacío: la ausencia de normas a escala de
actualizada destinada a responder a las crecientes
la UE sobre la resiliencia operativa digital que había
amenazas. NIS2 aborda la seguridad de las
llevado a la proliferación de iniciativas
cadenas de suministro y trata de racionalizar las
reguladoras nacionales.
obligaciones de información e introducir medidas
Estas normas nacionales eran a veces
de supervisión más estrictas y requisitos de
incoherentes o duplicadas y conllevaban
aplicación más estrictos, incluidas sanciones
costes administrativos y de cumplimiento
armonizadas en toda la UE.
adicionales.
UE: Ley de Resiliencia Operativa Digital Estados Unidos: Fortalecimiento de la
(DORA) Ley de Ciberseguridad Estadounidense
Esta nueva regulación, que entrará en vigor en los
El 15 de marzo de 2022, el presidente Biden firmó
Estados miembros de la UE en 2022, equivale a
esta ley. Utilizando el lenguaje de otros proyectos de
un marco detallado y completo para los bancos y
ley, la Ley requiere que los operadores de
otras instituciones financieras destinado a mejorar
infraestructura crítica informen "incidentes
su seguridad cibernética. De manera crítica,
cibernéticos sustanciales" a la Agencia de
también cubre la gestión de riesgos de los
Seguridad de Ciberseguridad e Infraestructura
proveedores de servicios de TIC con los que
(CISA) dentro de
trabajan estas instituciones financieras. Estos
72 horas e informe el pago de ransomware dentro
proveedores serán
de las 24 horas. El proyecto de ley contiene
incluido en el mandato de DORA, al igual que las
varias otras disposiciones
empresas financieras grandes y pequeñas. El
para fortalecer la seguridad cibernética, incluida
amplio Reglamento abarca a las empresas de
la exigencia de que todas las agencias federales
inversión alternativas, los proveedores de servicios
informen sobre la ciberseguridad sustancial
de criptoactivos, los proveedores de servicios de
incidentes a CISA, lo que convierte a esta agencia en
financiación participativa y otros
la principal organización gubernamental para ayudar a
los operadores de infraestructura crítica a responder
y recuperarse de las principales violaciones de la red.
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars18
No si, sino cuándo
El factor humano : una vulnerabilidad clave
"La educación y la sensibilización son una
necesidad absoluta. Al final, la seguridad
cibernética se trata principalmente del factor
humano. No es ético dar mal a los humanos
sistemas protegidos, pero los humanos necesitan
entender cuáles son los riesgos.
El personal de TI necesita suficientes capacidades
de ciberseguridad, ya que muchos riesgos pueden
derivarse de una programación deficiente.
Necesitas entender cómo desarrollar un sistema
maduro. Pero los usuarios finales también deben
comprender los riesgos y cómo evitarlos.
Debe comprender qué hay
en los datos que comparte
con otras partes y que
comparten con usted.
Seguridad cibernética: ¿Es su red de seguridad
lo suficientemente fuerte?
A estas alturas, todo el mundo sabe sobre las
contraseñas y la importancia de no usar las obvias
o reutilizar la misma contraseña para múltiples
aplicaciones de trabajo y hogar . Pero también
debe comprender qué hay en los datos que
comparte con otras partes y que comparten con
usted.
Hay muchas cosas que puede hacer para fortalecer
las salvaguardas. A menudo realizamos ejercicios
de phishing e informamos sobre quién se enamora
de ellos. Esto hace que la gente sea consciente,
pero debe ir acompañado de una formación básica
para todos los empleados. ¿Cómo detecto un
falso?
¿Correo electrónico? ¿Cómo reconozco que
alguien está usando mis credenciales? Esto sigue
siendo un trabajo en progreso en la mayoría de las
empresas. Hay una mayor conciencia, pero aún no
estamos allí".
Jan Matto
Socio, Mazars
Mazars19
Capítulo 5
Fortalecimiento de la red de seguridad cibernética

Mejorar la seguridad cibernética de su organización va mucho más allá de la

preparación técnica. Sobrevivir a los ataques y prosperar frente a ellos requiere
cambios de mentalidad y comportamiento.
Fortalecimiento de la red de seguridad cibernética
Conclusiones clave

Las amenazas cibernéticas están aquí para quedarse, y empeorarán. Esa es la

sobria realidad del sentimiento de la alta dirección, como se refleja en nuestro
barómetro anual. Los líderes empresariales no tienen más remedio que vivir con
eso.
realidad y lidiar con ella lo mejor que puedan. Muchos confían en que pueden resistir
ataques significativos, pero ¿por qué tentar al destino?
Todo el mundo necesita una red de seguridad cibernética, y cuanto más fuerte, mejor. Esta sección final
contiene seis conclusiones para sobrevivir y prosperar en un mundo de miedo cibernético. Son principios
diseñados para estimular la acción, con relevancia no solo para los líderes empresariales y los equipos de TI,
sino para todos los empleados.

Cambia tu mentalidad Aprender, enseñar y educar

Prepárate para lo peor. No se sienta demasiado
confiado ni se sienta demasiado cómodo con la
idea del riesgo al que se enfrenta. Si y cuando
golpea, puede y probablemente te sorprenderá
por su virulencia. La vigilancia es el
contraseña. Debe estar constantemente al límite,
alerta a las técnicas cambiantes, las nuevas
vulnerabilidades y la evolución de las condiciones
del mercado y las amenazas.
No subestimes la importancia del factor humano
como causa principal de la crisis cibernética. Un
miembro del personal haciendo clic en un enlace de
aspecto inocente en
un momento de olvido puede tener
consecuencias en cascada y, a veces,
devastadoras. La seguridad cibernética debe ser
un programa de aprendizaje obligatorio para
todas las empresas , y uno que sea un trabajo
constante en progreso.

Conozca sus sistemas, sus aplicaciones de Probar, probar y volver a probar

datos y sus vulnerabilidades
En muchas empresas hay dos realidades: una
realidad de TI y una evaluación de la gestión de esa
realidad de TI. La primera, la realidad de TI, tiene
que ver con la sofisticación operativa. ¿Qué tan
buena es la programación? ¿Qué tan seguras son
esas nuevas impresoras que acaba de conectar o
ese nuevo software de marketing que integró?
Esta última, la realidad de la gestión, es demasiado
a menudo sobre el cumplimiento: ¿tenemos un
proceso para tratar con
una violación? Es necesario cerrar esa brecha de
conocimiento, con una mejor comunicación y una
mayor comprensión de las realidades duales, en
ambos lados.
Centrarse en el riesgo externo
No olvide incluir su exposición a la cadena de
suministro en su evaluación de riesgos. Puede ser
fácilmente la causa del contagio. ¿Con qué cuidado
administran los proveedores sus sistemas,
especialmente si ha subcontratado cualquier parte
de
¿La tuya a ellos? El riesgo de terceros se convierte
rápidamente en su riesgo en caso de una
violación.
Su plan de gestión de crisis es tan bueno
como la última vez que lo tomó para una
prueba. A medida que las amenazas
cibernéticas crecen y evolucionan, debe
ajustar las respuestas a una variedad de
escenarios para garantizar que todos en la
empresa, no solo TI y
comunicaciones: sabe qué hacer para poner en
marcha los planes de recuperación más suaves
posibles en lo que seguramente serán condiciones
muy difíciles.
Esto no es solo un ejercicio de cumplimiento
Sí, los reguladores están cada vez más involucrados.
Aun así, es esencial ver la seguridad cibernética
como lo que realmente es: no solo un problema de
cumplimiento, sino una preocupación común, un
riesgo compartido para los individuos, las empresas
y las sociedades en general. Todos podemos
infectarnos unos a otros a través de errores
inadvertidos, pero también podemos protegernos
unos a otros a través de elecciones conscientes,
especialmente cuando se trata de la divulgación
completa después de un ataque. Dicho sin rodeos,
en un mundo donde no hay seguridad cibernética,
no hay negocio. Por lo tanto, la respuesta efectiva
y la recuperación no son solo un asunto de las
empresas individuales, sino que conciernen a la
sociedad en su conjunto.
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars21
Metodología

Se diseñó el barómetro Mazars C-suite

y realizado por GQR Research, en colaboración con
Mazars. Los datos se recopilaron a través de una
encuesta en línea entre el 24 de septiembre de 2021
y el 25 de octubre de 2021. La muestra total es de N
= 1,130, con 1096 provenientes de paneles en línea
y 34 invitados por correo electrónico directamente de
Mazars.

Puesto de trabajo Industria Ingresos anuales (USD)

CEO, Presidente, Junta Directiva 706 Servicios Financieros 219 $1m-$100m 432

Otros ejecutivos de C-suite 423 Tecnología y Telecomunicaciones 178 $100m - $1bn 350

Venta al por menor y productos de 149 $1bn+ 348

consumo

Automoción y fabricación 166

Región País Muestra Región País Muestra

Egipto 20 Canadá 53
América del 108
Kenia 20 Norte Estados Unidos de 55
América
África y
Marruecos 20 135 Argentina 10
Oriente Medio
Nigeria 20 Brasil 25

Sudáfrica 35 Chile 29
América Latina 171
Emiratos Árabes 20 Colombia 30
Unidos
Australia 23 México 72

China 20 Uruguay 5

Hong Kong 20 Francia 50

Indonesio 20 Alemania 60

Japón 20 Irlanda 15
Asia-Pacífico 198
Malasia 15 Italia 53

Filipinas 20 Europa Países Bajos 51 354

Singapur 20 España 50

Corea del Sur 20 Suiza 22

Vietnam 20 Reino Unido 50

Austria 9 Turquía 3

Polonia 36 Total 39 países 1,130

Europa Rumania 48
164
Central y Rusia 43
oriental
Eslovaquia 12

Ucrania 16
Fortalecimiento de la red de seguridad para mejorar la resiliencia cibernética Mazars22
Contactos
Jan Matto
Robert Kastenschmidt Socio, Mazars Jan.Matto@mazars.nl
Socio y Jefe de Consultoría, Mazars
Robert.Kastenschmidt@mazarsusa.com

Mazars es una asociación internacionalmente

integrada, especializada en auditoría, contabilidad,
asesoramiento, impuestos y servicios legales*.
Operando en más de 90 países y territorios de todo el
mundo, nos basamos en la experiencia de más de
44,000 profesionales, más de 28,000 en la
asociación integrada de Mazars y más de 16,000 a
través de Mazars North America Alliance, para ayudar
a clientes de todos los tamaños en cada etapa de su
desarrollo.
*Cuando lo permitan las leyes aplicables del país

© Mazars 2022