Academia cero control lavado de activos

Todo lo que debe saber sobre los riesgos del cibercrimen

La información de una compañía es uno de los activos más importantes que se tiene, es por esto que es tan indispensable protegerla de los ataques cibernéticos. 

h_PP_riesgos_ciberseguridad

Introducción

De acuerdo a estudios realizados alrededor del mundo el cibercrimen se ha aumentado en un 40 por ciento con nuevos delitos y enfoques, desde entonces las empresas se han preocupado por cuidar el activo más importante que tienen, y es la información, ya que sufrir este tipo de riesgos puede traer graves consecuencias que afectarían de manera directa la operación del negocio.

A medida que va pasando el tiempo nos vamos volviendo más dependientes de la tecnología y los dispositivos digitales que hacen que nuestra interacción en internet sea cada vez más fuerte y por ende estar más expuestos a riesgos como robo de datos, hackeos, sabotaje, entre otros. 

Es por esto que es tan importante que las empresas estén alertas y detecten operaciones inusuales a tiempo, con el fin de poder poner en marcha soluciones que ayuden a mitigar este tipo de riesgos.

En el siguiente eBook usted encontrará toda la información relacionada acerca de cómo el cibercrimen puede afectar su organización, las herramientas y técnicas que se utilizan y cómo implementar un sistema de seguridad de la información

¿Qué es cibercrimen?

Se define como ataques que son provocados por un pirata informático, más conocido como hacker, con el fin de intervenir al interior de una compañía violando los sistemas de seguridad para efectuar acciones ilícitas como el robo de información y causar daños perjudiciales que en ocasiones suspenden la operación del negocio.

En el mayor de los casos este tipo de eventos se realizan utilizando identidades digitales falsas o usurpadas, a través de la compra y venta de las mismas en sitios web no autorizados donde es muy común encontrar este tipo de datos.

El cibercrimen se da cuando la información privada de los usuarios ha sido expuesta sin su autorización al público.

Hay que tener en cuenta que el robo de datos es la consecuencia que representa más pérdida de dinero y la que ha evolucionado cada vez más con el tiempo. Sin embargo, el cibercrimen también abarca los ataques a los controles industriales. 

Pero los hackers no siempre van en busca del robo de información, sino por el contrario su misión muchas veces es destruirla y desaparecerla interviniendo en su integridad. 

Algo que tienen muy claro este tipo de delincuentes es que el blanco más débil son las personas, es por esto que acuden cada vez más a prácticas de phishing, ransomware e ingeniería social para lograr entrar a la información de una empresa.

  • Phishing: son correos electrónicos falsos que se hacen pasar como confiables usurpando la identidad de algún banco, empresa reconocida, etc, con el fin de poder obtener datos confidenciales de la persona para luego llevar a cabo algún tipo de fraude. Normalmente vienen acompañados de un enlace que al ser abierto automáticamente remiten a páginas web falsas.
  • Spear phising: es una de las estafas por correo electrónico más comunes que hay, y lo único que busca es acceder a datos confidenciales. Se diferencia del phising ya que va enfocado a un único objetivo, es decir, a una organización específica. Normalmente lo que se busca es robar datos financieros, secretos comerciales, entre otros.
  • Skimming: para realiza este tipo de fraude es indispensable contar con tecnología avanzada, con el fin de poder acceder a contraseñas y claves personales. Este tipo de robo se usa mucho en los cajero electrónicos, ya que a través de un dispositivo pueden acceder a la información a través de las bandas magnéticas de las tarjetas. 

El costo del cibercrimen

01_PP_saber_sobre_riesgos_cibercrimen

Hay que tener en cuenta que los líderes de las organizaciones en la actualidad se enfrentan a una amenaza muy latente y es al estar expuestos a cualquier tipo de ataque cibernético que se pueda presentar, pues el estar a la vanguardia de las nuevas tendencias hace que cada vez sean más vulnerables a sufrir este tipo de riesgos. Los humanos son los actores más débiles y por eso en la mayoría de casos las actividades ilícitas van dirigidas a ellos. 

De acuerdo al estudio del ‘Coste del Cibercrimen’, realizado por Accenture en el 2019 y en el que estudió a 11 países, 16 industrias y entrevistaron a 2.647

“Nuestro estudio indica que el cibercrimen está creciendo, tarda más en resolverse y resulta cada vez más costoso para las organizaciones. Pero también hemos descubierto que la mejora de la ciberseguridad puede reducir los costes del cibercrimen y abrir nuevas oportunidades de ingresos. Estos son algunos de nuestros resultados más destacados”:

  • La creciente variedad de las amenazas y la innovación empresarial están produciendo un aumento en el número de ciberataques. El número medio de violaciones de seguridad creció un 11 % el pasado año, pasando de 130 a 145.
  • Las organizaciones gastan más que nunca para paliar los costes y las consecuencias de ataques cada vez más sofisticados. El coste medio del cibercrimen para una organización aumentó de 1,4 a 13,0 millones de dólares.
  • Mejorar la ciberseguridad puede hacer que descienda el coste del cibercrimen y abrir nuevas oportunidades de ingresos. Según nuestros cálculos, el valor total en riesgo durante los próximos cinco años podría ascender a 5,2 billones de dólares.
  • Si dan prioridad a tecnologías que mejoren la ciberseguridad, las organizaciones pueden reducir las consecuencias del cibercrimen y generar valor económico en el futuro, ya que un nivel alto de confianza es el mejor aliciente para los clientes.

Tomado de: Estudio de cibercrimen de Accenture https://www.accenture.com/es-es/insights/security/cost-cybercrime-study 

Los riesgos más comunes asociados al cibercrimen

02_PP_saber_sobre_riesgos_cibercrimen

Ransomware

El ransomware se caracteriza por restringir el acceso a un sistema informático pidiendo un rescate para eliminar el bloqueo. Puede llegar a ser fatal para una compañía, porque implicaría una pérdida masiva de datos, además de los perjuicios económicos.

El virus WannaCry y el Petya, dos tipos de ransomware operan de la misma forma: durante el ataque, los datos del ordenador infectado se bloquean, ya sean documentos, fotos o videos. Para desencriptarlos, normalmente el programa exige el pago de una suma de dinero, generalmente de bitcoins. Si no se paga a tiempo, los datos son eliminados o bloqueados de forma permanente.

Ataque DDos

Con la transformación digital de los servicios bancarios, los riesgos financieros cambiaron y los fraudes o las fallas en las operaciones se incrementaron, así como el cibercrimen. Entre los ataques más comunes y peligrosos está el DDoS o de denegación del servicio, que consisten en provocar la caída de un servidor sobrecargando su ancho de banda. Estas acciones fuerzan la interrupción de un sitio web.

En el caso del sistema financiero, los DDoS se utilizan para inundar con una gran cantidad de tráfico los servicios en línea de los bancos y de las plataformas de trading. De esa manera el servidor colapsa y deja de funcionar.

Troyanos bancarios

Los delincuentes cibernéticos persiguen la telefonía móvil mucho antes de que se incrementara el uso de smartphones para realizar transacciones bancarias, ahora cada vez más están tras estos dispositivos para hacer sus fechorías. Precisamente, la mayor amenaza para los dispositivos móviles son los troyanos bancarios, otro software malicioso que en principio parece inofensivo, pero es muy peligroso y está tras los bancos.

Los troyanos pueden instalarse en cualquier dispositivo por visitar un sitio web infectado, por descargar el anexo de un mail, o incluso, por bajar una aplicación. Una vez este virus se instale en el celular, detecta en qué momento se utilizan los servicios en línea de un banco y así capturar los datos personales y bancarios.

¿Cómo evitarlo?

  • Proteger de los ataques a sus empleados: es el método más común que utilizan los delincuentes para poder robar información de una organización.
  • Continuidad de negocio: invertir en soluciones que permitan gestionar este tipo de riesgos, con el fin de limitar la pérdida de información.
  • Tecnologías para reducir los costos de seguridad: analítica avanzada, automatización e inteligencia artificial pueden contribuir a disminuir los ataques. 

Cómo gestionar este riesgo

Seguridad de la información 

Se define como un proceso integrado que permite proteger la identificación y gestión de la información y los riesgos a los que esta se puede ver enfrentada, a través de estrategias y acciones de mitigación que dan la posibilidad de asegurar y mantener de manera confidencial los datos de una empresa. 

Según la Universidad Libre de Colombia “Son todas las medidas preventivas y de reacción del individuo, la organización y las tecnologías, para proteger la información; buscando mantener en esta la confidencialidad, la autenticidad e Integridad.

Hay que tener claro que los términos Seguridad de la información y Seguridad Informática son diferentes. La segunda trata solamente de la seguridad en el medio informático, mientras que la primera es para cualquier tipo de información, sea esta digital o impresa.

La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la información. Por ejemplo la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad y recuperación de los riesgos”. 

Para llevar a cabo la implementación de esta dentro de las instituciones se deben tener en cuenta tres elementos que son claves:

03_PP_saber_sobre_riesgos_cibercrimen

  • Personas: Son aquellos que se encarga de realizar la gestión y de tratar la información, pueden ser empleados, directivos, autoridades competentes, clientes, proveedores, contratistas y prestadores de servicio.
  • Procesos: Son las actividades que se llevan a cabo con el fin de cumplir con los objetivos planteados, la mayoría de estas incluyen información o dependen de esta por lo que resultan siendo vulnerables.
  • Tecnología: Está relacionado a los servicios e infraestructura de la empresa, esta es la que lleva el manejo y el desarrollo de la información, brinda la oportunidad de almacenar, recuperar, difundir y darle mantenimiento a los datos de valor que se encuentran allí.

Norma ISO 27001

04_PP_saber_sobre_riesgos_cibercrimenEs una norma internacional creada por la Organización Internacional de Normalización (ISO) que garantiza el uso de buenas prácticas en materia de seguridad de la información. Además, brinda herramientas para gestionarla dentro de una organización. 

Este estándar internacional fue creado para proporcionar un modelo para establecer, implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la información (SGSI).

En el 2005 fue publicada su primera versión enfocada en la norma británica BS 7799-2 y en el 2013 se realizó su actualización ajustándose a las novedades tecnológicas que trae el mercado y basándose en normas como la ISO/IEC 17799:2005, la serie ISO 13335, ISO/IEC TR 18044:2004 y las directrices de la Ocde para sistemas y redes de seguridad de la información . Esta se puede aplicar a cualquier tipo de empresa sin importar su origen o tamaño. 

Esta normativa permite que los datos suministrados sean confidenciales, íntegros, disponibles y legales, con el fin de estar protegidos frente a los riesgos que se puedan presentar. Contar con este sistema dentro de la organización genera confianza entre los clientes, proveedores y empleados, además es un referente mundial.

Implementarla permite evaluar y controlar los riesgos que se hayan identificado con el fin de crear un plan que ayude a mitigarlos y en caso tal evitarlos.

También hay que tener en cuenta que la ISO 27001 otorga certificación permitiendo que la entidad pueda demostrarle a sus clientes, empleados y proveedores que están blindados frente a este tema.

Estructura de la norma ISO 27001

05_PP_saber_sobre_riesgos_cibercrimen

  • Objeto y campo de la aplicación: Brinda las herramientas para saber cómo es el uso de la norma, que beneficios trae y cómo se debe aplicar.
  • Referencias normativas: Son los documentos que se deben tener en cuenta para aplicar las recomendaciones de la norma.
  • Términos y definiciones: Es un glosario que permite entender las palabras claves de lo que está descrito allí.
  • Contexto de la organización: Es uno de los requisitos fundamentales de la norma, se busca entender el contexto de la empresa y cuáles son sus necesidades para verificar cuál será el alcance del sistema de gestión de información de la seguridad que se va a poner en marcha.
  • Liderazgo: Es importante generar una cultura dentro de la compañía alrededor de esto, es por esto que todos los empleados deben estar enterados de los planes de acción que se van a llevar a cabo y de qué manera ellos contribuyen al cumplimiento del mismo, es así como los líderes deben nombrar responsables y dar a conocer las políticas establecidas.
  • Soporte: Para el adecuado funcionamiento del sistema se debe contar con los recursos necesarios que permitan ser competentes, contar con una óptima comunicación y que se pueda documentar la información requerida para cada caso.
  • Planificación: Acá se establecen los objetivos y cuál va a ser el camino que se va a seguir para lograrlos, cómo será la implementación del sistema de gestión de seguridad de la información teniendo en cuenta los riesgos que se han identificado previamente.
  • Operación: Para tener una gestión eficaz se debe planificar, implementar, monitorear y controlar cada uno de los procesos, valorar cada riesgos y crear una solución para cada uno de ellos.
  • Evaluación de desempeño: Se debe realizar el seguimiento, la medición, el análisis y la evaluación  del sistema implementado, con el fin de verificar que está cumpliendo con lo establecido.
  • Mejora: Identificar qué aspectos no están funcionando correctamente para ajustarlos y que puedan cumplir con su objetivo final.

Sistema de gestión de seguridad de la información, según la ISO 27001 

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27000. De acuerdo con la norma la seguridad de la información consiste en la preservación de la confidencialidad, integridad y disponibilidad, bajo estos tres términos se realiza el análisis y evaluación de los activos de información.

Este concepto se encuentra enfocado en cuatro fundamentos:

Screenshot_1-1

¿Cómo se implementa?

06_PP_saber_sobre_riesgos_cibercrimen

  1. Apoyo de la alta gerencia, directores y junta directiva.
  2. Establecer la metodología que se va a implementar. 
  3. Definir el alcance del SGSI.
  4. Redactar una política de seguridad de la información.
  5. Definir evaluación de riesgos.
  6. Llevar a cabo la evaluación y el tratamiento de riesgos.
  7. Dar a conocer cómo va ser su aplicabilidad.
  8. Tener claro el plan de tratamiento de riesgos.
  9. Definir cómo se medirá la efectividad de los controles.
  10. Implementar todos los controles y procedimientos necesarios.
  11. Crear cultura dentro de la empresa a través de programas de capacitación y concientización.
  12. Monitorear y medir el SGSI para verificar si está siendo efectivo.
  13. Hacer auditoría interna.
  14. Si hay que hacer mejoras en algunas de las fases ponerlo en práctica.

Todo lo que debe saber sobre los riesgos del cibercrimen

Compártalo en sus redes sociales