Documentos de Académico
Documentos de Profesional
Documentos de Cultura
02 Prefacio
03 Resumen ejecutivo
04 Ser realista sobre el aumento del riesgo cibernético
08 Bring it on: medir la preparación para las infracciones
cibernéticas
11 ¿Confianza o complacencia?
14 No si, sino cuándo : cinco pilares de la defensa
20 Fortalecimiento de la red de seguridad cibernética
22 Metodología
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars1
Prefacio
Ciberseguridad: un delicado acto de equilibrio
Las amenazas cibernéticas están a nuestro La capacidad de la propia empresa para resistir
alrededor. Esto no es paranoia, es una realidad ataques que pueden parecer sorprendentes, tal vez
desafortunada: cada día trae nuevos hackeos, incluso paradójicos. ¿Saben algo que sus propios
nuevas fugas de datos, nueva vergüenza y nuevos departamentos de TI no saben?
costos, tanto financieros como comerciales. Nadie Probablemente no. Sin embargo, estos hallazgos
se salva. Los ataques se dirigen a empresas sugieren que la seguridad cibernética se ha
grandes y pequeñas, así como a instituciones del convertido en un delicado acto de equilibrio para
sector público y particulares. Colectivamente, muchas empresas, similar a un paseo por la cuerda
estamos mejorando en la prevención y detección floja: sí, es peligroso, pero lo importante es
de robos cibernéticos y construir una red de seguridad sólida que pueda
limitando su daño, gracias en parte a las soluciones amortiguar. cualquier eventual caída.
tecnológicas, pero también debido a una mayor
Muchas herramientas que pueden ayudar a
conciencia de los peligros del phishing y otras
identificar, prevenir y detectar violaciones
técnicas clásicas de piratería . Sin embargo, ningún
cibernéticas ahora están disponibles. Los CEOs
sistema es infalible. Los avances tecnológicos que
pueden poner números para las actualizaciones de
pueden protegernos también proporcionan a los
la junta en torno al gasto
ciberdelincuentes herramientas más avanzadas,
así como ejemplos que ilustran su supuesta
incluida la inteligencia artificial, que pueden
preparación. La respuesta y la recuperación
mantenerlos varios pasos por delante de las
después de un ataque son mucho más difíciles,
organizaciones a las que se dirigen.
dado que cada violación puede ser diferente. Sin
Dado ese contexto, este informe toma como punto embargo, la forma en que una empresa o una
de partida la inevitabilidad de ser atacado. La institución del sector público reacciona a los
seguridad cibernética ya no es una cuestión de si, ciberataques es una prueba esencial de estrategia
sino de cuándo. Eso puede equivaler a un cambio y liderazgo. Esperar hasta que llegue una crisis
de mentalidad para muchos líderes empresariales, antes de elaborar un plan de respuesta efectivo es
pero creemos que es importante hacerlo. En como tratar de colgar la red de seguridad mientras
nuestra opinión, el realismo de ojos fríos es la mejor tropiezas. Y la capacidad de una organización
estrategia de defensa cibernética, ya que informará para recuperarse de
cada uno de los cinco aspectos operativos clave un colapso cibernético puede ser difícil de medir
que deben implementarse para salvaguardar los antes de que se pruebe en la vida real.
datos de la empresa. Estos cinco pilares son:
En ese sentido, la ciberseguridad es un indicador
identificación, prevención, detección, respuesta
revelador de la salud de la organización. Si las
y recuperación.
habilidades que necesita para lidiar con las
Una prueba de fuego para la resiliencia amenazas cibernéticas no están aisladas de los
organizacional equipos de TI o comunicaciones, sino que
impregnan todo su
Una encuesta que realizamos a más de 1,000 organización—y si usted respuesta a a brecha está
ejecutivos en todo el mundo en diciembre pasado bienplanificado y pozo ejecutado: el probabilidad es
para nuestro barómetro anual de C-suite enfatizó ese túson más saludables y más resistentes en su
cómo la seguridad cibernética es ahora una conjunto. Hallazgo tus pies y mantener el equilibrio en
preocupación importante entre los líderes ciberseguridad Hace para bien negocio en general.
corporativos. Más de la mitad de los encuestados
nos dijeron que los riesgos cibernéticos han
aumentado en el último año, y
más de un tercio se están preparando para Robert Kastenschmidt
violaciones de datos en los próximos 12 meses. Sin Socio y Jefe de Consultoría, Mazars
embargo, la misma encuesta mostró que la alta
dirección tiene un nivel de confianza en su
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars2
Resumen ejecutivo
54%
cibernética para su
han aumentado en los últimos doce meses, y el 35 organización ha
por ciento espera una violación de datos aumentado en los
significativa durante el próximo año. últimos 12 meses.
Estos números generales enmascaran diferencias
significativas según el tamaño y la ubicación de la
empresa. Las grandes empresas con más de $ 1
mil millones en ingresos anuales son las más
preocupadas: dos tercios de ellas ven amenazas
crecientes, en comparación con poco menos de la
mitad de las empresas en los $ 1 Más que a Tercero pensar
35%
rango de millones a $ 100 millones. Y la conciencia una violación de datos
del riesgo es más alta tanto en los Estados Unidos significativa en los
como en Europa, con más del 60% viendo peligros próximos 12 meses
crecientes. es probable.
$1.000 millones 8 10 18 40 24
$100m-$1bn 9 12 25 32 22
$1m-$100m 10 17 25 30 18
P: ¿Cómo Tiene cambiado el riesgo de seguridad cibernética para su organización en los últimos 12 meses?
$1m-100m, n=432; $100m-$1bn, n=350; $1bn+, n=348
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars5
Ser realista sobre el
aumento del riesgo
cibernético
Pequeñas empresas, grandes amenazas
Entonces, ¿qué pueden hacer las empresas más Finalmente, manténgase informado y adaptable.
pequeñas para protegerse dadas sus limitaciones Algunas pequeñas empresas piensan que pueden
de tamaño? Sus posibilidades son intrínsecamente poner en marcha un sistema de seguridad
más limitadas, porque las pequeñas empresas cibernética y luego dejar de preocuparse. Ese es
tienen menos recursos que las grandes, tanto en un enfoque equivocado: todas las empresas deben
términos de dinero como de experiencia mantenerse alerta. Organizar las comunicaciones
cibernética. Eso hace que sea primordial que las con los proveedores de TI y las partes interesadas
empresas más pequeñas se centren en las cuando usted o ellos tienen un incidente es una
medidas más fuertes pero también más simples necesidad. Y es esencial mantenerse informado
posibles. Destacan tres : sobre las nuevas amenazas y riesgos cibernéticos.
Primero, sea anticuado: haga una muy buena copia En el mundo de la ciberseguridad, no es
de seguridad de sus datos con un espacio de aire. imposible protegerse si eres pequeño. Pero se
En otras palabras, almacene una copia completa de necesita mucho trabajo de pies cuidadoso.
sus datos clave sin conexión, en un lugar seguro,
Jan Matto
para que pueda recuperarlos en caso de un ataque
Socio, Mazars
debilitante.
En segundo lugar, segmente los datos en
subsectores para evitar que una intrusión en su
sistema contamine todos sus datos. La
segmentación no es una solución costosa del
sistema de TI , pero es fuerte y muy relevante
para las pequeñas empresas.
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte? Mazars7
Capítulo 2
Tráigalo: medir la preparación para la seguridad cibernética
68%
confían en que sus
finanzas pérdidas en la parte superior de la lista de datos están
los datos más grandes protección Riesgos Seguido completamente
por conformidad riesgo (44%). Justo un tercio citado protegidos. Otro 29%
Preocupaciones acerca de reputación y negocio dice que sus datos están
continuidad. parcialmente protegidos.
Al mismo tiempo, la confianza en poder resistir los
ciberataques es alta, con más de dos tercios de
los líderes empresariales, el 68%, diciéndonos
que sienten que los datos de su organización están
"completamente protegidos". Un corte geográfico
de la encuesta
Los resultados muestran que la confianza es más
alta en los Estados Unidos, donde el 80% de los
encuestados sienten que sus datos están
completamente protegidos.
Pérdidas 56
financieras 44
Riesgos de 36
cumplimiento
36
Reputació 24
n Continuidad del
negocio Daño
social
P: ¿Cuáles De de los siguientes sonido los MAYORES riesgos para su organización con respecto a la seguridad cibernética
y la protección de datos? Total n=1130
Los peligros cibernéticos que acechan en las los sistemas son los más vulnerables al
sombras para sector privado Empresas son no ransomware y otros ataques. Al mismo tiempo,
menos de a amenaza Para nacional y local estas organizaciones tienden a no tener la
gobierno y Otro públicosector organizaciones—y financiación para actualizar todo a la tecnología
en alguno Maneras más así que. más reciente.
Los datos que estas organizaciones poseen a
Una segunda desventaja es que incluso aquellas
menudo son intensamente privados y
organizaciones del sector público más conscientes
confidenciales, que van desde detalles de la
de los riesgos y que buscan construir defensas
seguridad social y declaraciones de impuestos
más fuertes pueden tener dificultades para
hasta información educativa.
reclutar a los expertos cibernéticos que necesitan
y registros de salud y justicia penal. En casos
para poner en práctica sus aspiraciones. Los
extremos, la seguridad nacional puede verse
especialistas cibernéticos tienen un gran valor de
comprometida, si la infraestructura clave, como
mercado en todas partes, a menudo mucho más
las centrales eléctricas o incluso
allá del alcance de los presupuestos públicos. E
las instalaciones de defensa son atacadas. Dicho
incluso si un
sin rodeos , cuando se trata de riesgos del sector
La organización recluta o capacita a personas
público, solo está a un incidente importante de
competentes, a menudo son cazadas furtivamente.
apagar las luces.
Mucho se puede y se está haciendo con un uso
Las violaciones cibernéticas altamente
cuidadoso de los recursos. Las organizaciones
publicitadas en organizaciones locales o
cibernéticas nacionales comparten las mejores
nacionales en muchos países en los últimos años
prácticas y más. En el Reino Unido, por ejemplo,
han creado conciencia sobre los riesgos a los que
el Centro Nacional de Seguridad Cibernética
se enfrentan las instituciones del sector público.
proporciona herramientas de seguridad
Un desafío particular es
cibernética "ejercicio en una caja" y muchos
"ransomware": un tipo de malware que cifra los
otros recursos para ayudar a las organizaciones
archivos en un dispositivo o red, haciéndolos
del sector público a prepararse. La alta dirección
inutilizables.
de la administración pública es ahora muy
Los perpetradores luego exigen un rescate a
consciente del riesgo cibernético y está haciendo
cambio del descifrado, a menudo amenazando con
más para evaluar las vulnerabilidades y probar
vender o filtrar datos o información de
y aportar ayuda externa cuando sea útil para
autenticación si no se paga el rescate. Pagar o
mejorar las defensas. La capacitación en
no pagar es un acto de malabarismo imposible
sensibilización para todo el personal se ha
para la organización afectada: ¿cómo reaccionaría
acelerado. En algunos países, la planificación de
el público a la idea de recompensar a los
la respuesta instantánea está muy avanzada, y los
delincuentes con el dinero de los contribuyentes?
planes de recuperación ante desastres y
Para defenderse, las organizaciones del sector continuidad del negocio están en su lugar, al
público deben fortalecer los mismos cinco pilares menos sobre el papel. Sin embargo, como
que el sector privado también necesita apuntalar, a continúan demostrando las violaciones
saber, la identificación, la detección, la prevención, cibernéticas en curso en las instituciones públicas
la respuesta y la recuperación. Sin embargo, el de todo el mundo , nunca es suficiente.
sector público se enfrenta a algunos desafíos Mantener esas luces encendidas sigue siendo una
particulares al hacerlo. cuestión de mayor vigilancia sin parar, más
recursos, más capacitación y ciclos interminables de
En primer lugar, los propios sistemas pueden ser
pruebas.
altamente vulnerables. Para muchas
organizaciones del sector público, los sistemas de Antón Yunussov
TI son un mosaico de lo antiguo y lo nuevo, y el Experto en ciberseguridad, Mazars
legado
Mazars12
Seguridad cibernética: ¿Es su red de seguridad lo suficientemente fuerte ?
¿Confianza o complacencia?
Minoristas: confianza cuidadosa después de años de experiencia
Una defensa sólida contra los ataques cibernéticos depende de su capacidad para
identificar, prevenir y luego detectar ataques. La respuesta y la recuperación
posteriores al ataque deben planificarse cuidadosamente y probarse exhaustivamente.
No si, sino cuándo
Cinco pilares de la defensa
La defensa inteligente contra las ciberamenazas tiene cinco pilares: identificación, prevención, detección,
respuesta y recuperación. Cada uno de estos pilares contribuye al equilibrio general de la seguridad
cibernética de una empresa, ayudándola a gestionar el riesgo organizando la información, permitiendo
decisiones de gestión de riesgos, abordando amenazas, aprendiendo de actividades anteriores y, como
resultado, volviéndose más resistentes. Cada uno de los pilares tiene un componente tecnológico importante,
pero igualmente cada uno tiene un componente humano crítico. La realidad de la tecnología de TI y los
factores humanos van de la mano. Ambos requieren paciencia, capacitación, inversión y pruebas
exhaustivas.
Pilar 3: Detección
Desarrollar e implementar actividades apropiadas
para identificar cuándo se Tiene producido una
violación de la ciberseguridad.
Las auditorías de seguridad cibernética
pueden proporcionar perspectivas externas
útiles sobre la efectividad de las salvaguardas
del sistema. Los imperativos incluyen
comprender la exposición potencial de su
empresa, tener las herramientas para
monitorear la actividad de la rojo; y ser
capaz de detectar anomalías en tiempo real y
escalar donde sea necesario.
Se requiere más que personal de TI para
participar en estos esfuerzos: se necesitan
gerentes bien capacitados en todos los niveles,
para poder detectar problemas y saber a quién
alertar.
"La educación y la sensibilización son una A estas alturas, todo el mundo sabe sobre las
necesidad absoluta. Al final, la seguridad contraseñas y la importancia de no usar las obvias
cibernética se trata principalmente del factor o reutilizar la misma contraseña para múltiples
humano. No es ético dar mal a los humanos aplicaciones de trabajo y hogar . Pero también
sistemas protegidos, pero los humanos necesitan debe comprender qué hay en los datos que
entender cuáles son los riesgos. comparte con otras partes y que comparten con
usted.
El personal de TI necesita suficientes capacidades
de ciberseguridad, ya que muchos riesgos pueden Hay muchas cosas que puede hacer para fortalecer
derivarse de una programación deficiente. las salvaguardas. A menudo realizamos ejercicios
Necesitas entender cómo desarrollar un sistema de phishing e informamos sobre quién se enamora
maduro. Pero los usuarios finales también deben de ellos. Esto hace que la gente sea consciente,
comprender los riesgos y cómo evitarlos. pero debe ir acompañado de una formación básica
para todos los empleados. ¿Cómo detecto un
Debe comprender qué hay falso?
¿Correo electrónico? ¿Cómo reconozco que
en los datos que comparte alguien está usando mis credenciales? Esto sigue
siendo un trabajo en progreso en la mayoría de las
con otras partes y que empresas. Hay una mayor conciencia, pero aún no
estamos allí".
comparten con usted. Jan Matto
Socio, Mazars
CEO, Presidente, Junta Directiva 706 Servicios Financieros 219 $1m-$100m 432
Otros ejecutivos de C-suite 423 Tecnología y Telecomunicaciones 178 $100m - $1bn 350
Sudáfrica 35 Chile 29
América Latina 171
Emiratos Árabes 20 Colombia 30
Unidos
Australia 23 México 72
China 20 Uruguay 5
Indonesio 20 Alemania 60
Japón 20 Irlanda 15
Asia-Pacífico 198
Malasia 15 Italia 53
Singapur 20 España 50
Austria 9 Turquía 3
Europa Rumania 48
164
Central y Rusia 43
oriental
Eslovaquia 12
Ucrania 16
Fortalecimiento de la red de seguridad para mejorar la resiliencia cibernética Mazars22
Contactos
Jan Matto
Robert Kastenschmidt Socio, Mazars Jan.Matto@mazars.nl
Socio y Jefe de Consultoría, Mazars
Robert.Kastenschmidt@mazarsusa.com
© Mazars 2022