Ciberseguridad y convergencia en la gestión del fraude

Autor: EY Forensics Ecuador



Los ataques cibernéticos en la actualidad son cada vez más sofisticados y difícil de cuantificar con respecto a daños causados y su recurrencia, ejecutándose este tipo de ataques de forma constante y en diversos sectores económicos. En el 2019, varias organizaciones se vieron afectadas por una serie de ataques de ciberseguridad a gran escalada manteniendo una percepción baja con respecto a la madurez de los Sistemas de ciberseguridad. Hoy nos encontramos viviendo en un a interconexión masiva tecnológica con diversos dispositivos digitales; a esto le sumamos la situación actual del Covid-19 que ha cambiado el mundo, los estilos de vida y claramente la forma de trabajar y hacer negocios de forma remota, incrementado de esta manera el porcentaje de ataques cibernético; lo cierto es que, mientras más nos sumergimos en la era de transformación digital, se abre un abanico de oportunidades pero también de amenazas, donde la ciberseguridad debe hacer frente en cada compañía.

 
¿Cómo afectan las ciberamenazas la evaluación de riesgos de las organizaciones?

Al instante de realizar una evaluación de riesgos en las organizaciones, los riesgos de ciberseguridad llegan a todas las organizaciones y no están siempre bajo el control directo del equipo de Tecnología. Es por ello que las organizaciones al realizar la evaluación de riesgos de la compañía deberían considerar los riesgos de ciberseguridad en la siguiente ecuación:


Riesgo = Amenaza x Vulnerabilidad x Impacto

Amenaza: Corresponde a los asuntos que pueden fallar si ocurre un incidente. Los principales grupos de actores de amenazas son ciberdelincuentes, hackers y empleados maliciosos; estos actores de amenazas se deben clasificar por nivel de amenaza en la organización, considerando los factores de motivación, capacidad y probabilidad de que ataquen a la organización.

Vulnerabilidad: Susceptibilidad de la organización al ser atacada. Para ello, se debe determinar los controles que ya existen para prevenir, detectar y responder a estas amenazas, involucrando directamente al departamento de TI y seguridad de la información; de esta manera, la organización debe asegurarse de la efectividad de los controles optando por rediseñarlos o aplicar nuevos controles.

Impacto: El potencial efecto financiero, operacional, legal, o regulatorio que los riesgos identificados puedan generar en la organización.

 
Estrategia de Ciberseguridad

 Se entiende por estrategia de ciberseguridad, a las acciones establecidas para desarrollar un entorno de ciberseguridad en la compañía, involucrando de forma práctica a todos los colaboradores de la misma; para esta estrategia, la organización se debe enfocar en la detección, protección, identificación, recuperación y respuesta en los ciberataques. Durante este procedimiento; es importante considerar un (01) concepto clave en la estrategia de Ciberseguridad: Resiliencia cibernética.

 Resiliencia cibernética: mitiga la probabilidad y/o el impacto de un ataque cibernético destructivo. Es la capacidad de la organización para responder y recuperarse de un desastre comercial provocado por el riesgo cibernético.

 Las organizaciones se esfuerzan por defenderse contra la pérdida de dinero y datos de ataques cibernéticos y de ingeniería social cada vez más persistentes y sofisticados:

-        Los estafadores investigan y apuntan a empresas y productos con los controles más débiles.

-        Al mismo tiempo, las empresas están bajo presión para reducir costos y mejorar la experiencia del cliente. Los controles de fraude a veces se ven como una molestia.

-        Cada vez más, los reguladores preguntan a las empresas cómo proporcionan una protección suficiente de los activos de los clientes.

El desafío de las empresas es fortalecer sus procesos de administración de riesgos, y considerar en su tratamiento los aspectos éticos que enfrentan; para ello, las compañías deben preguntarse si están gestionando los riesgos tecnológicos, como lo son: protección de datos y privacidad, redes sociales, ciberseguridad, desarrollo de actividades, seguridad de TI, Gestión de propiedad intelectual, entre otros.
 

Gestión de Ciber-respuesta

Actualmente; muchas organizaciones no cuentan con programas de ciberseguridad sólidos, direccionando pocos recursos y actividades de monitoreo al departamento de TI para implementar y fortalecer programas de ciberseguridad. Estar preparado para prevenir y atender incidentes de ciber seguridad debe ser un objetivo estratégico proyectado a treves de un Modelo de Gestión de Ciber-respuesta enfocado en cuatro (04) factores: Equipos de respuesta, principios rectores ante incidentes, comunicación y monitoreo.

1)    Equipo de respuesta: Un equipo de respuesta, debe contar con las siguientes habilidades:

•        Autoridad y capacidad para tomar decisiones de manera oportuna;

•        Representantes de cada unidad de negocio afectada con conocimiento de las operaciones de la unidad de negocio.

•        Capacidad para comunicarse con los ejecutivos.

•        Habilidades técnicas para detectar e identificar el incidente.



2)    Principios rectores ante incidentes: consisten en los diversos procedimientos que se deben tomar en cuenta a la hora de identificar un incidente:

•        Tomar decisiones informadas.

•        Contar con procedimientos claros para priorizar respuesta a incidentes.

•        Diseñar una metodología clara para recopilar, analizar y reportar hallazgos.

•        Ayudar a garantizar que la información sea precisa, concisa y oportuna;

•        Minimizar el proceso de gobernanza y los tiempos de respuesta del proceso (por ejemplo, considere delegaciones de autoridad).


3)    Comunicación: La compañía tiene que establecer comunicaciones internas y externas planeando una comunicación a tiempo, permitiendo de esta manera a las organizaciones adelantarse a los sucesos y a los procesos. Para ello, la compañía debe considerar lo siguiente:

•        Plan de comunicación y difusión.

•        Identificación de canales de comunicación alternos.

•        Establecer roles, responsabilidades y líneas de comunicación.

•        Campañas activas de concientización.

•        Incluir a varias funciones del negocio.


4)    Monitoreo: Consiste en verificar el adecuado funcionamiento de los procesos de Ciber-respuesta

•        Visibilidad de la infraestructura tecnológica.

•        Plan de testeo de controles.

•        Monitoreo continuo (red, usuario, Sistema).

•        Seguimiento de resolución de incidentes.

•        Base de mejora continua.

 

Contactos

Geovanni Nacimba
Associate Partner EY Forensics Ecuador
T: +593 2 255 5553
Geovanni.Nacimba@ec.ey.com

Krystel Zamora
Manager EY Forensics Ecuador
T: +593 2 255 5553
Krystel.Zamora@ec.ey.com

Gabriel Cuestas
Manager EY Forensics Ecuador
T: +593 2 255 5553
Gabriel.E.Cuestas.Flores@ec.ey.com