Las tendencias en los riesgos relacionados a TI

Gracias por Compartir

En la tercera edición del estudio Radar de Riesgo Tecnológico publicado por KPMG, se identifican las tendencias en los riesgos relacionados a TI basado en incidentes sucedidos durante el último año a nivel global y los agrupa en tres categorías: Seguridad (54.3%), Disponibilidad (36.2%) y Calidad de TI (9.5%).

Para fines del estudio se considera a seguridad con incidentes de pérdida de información, intencional o no,  la afectación a la infraestructura de TI, y en disponibilidad se consideran incidentes de no disponibilidad y degradación de servicios de TI.

Las causas que principalmente ocasionan estos incidentes son: hacking, acceso no autorizado y malware, para seguridad; fallos en software y red para la no disponibilidad de servicios de TI.

La norma ISO/IEC 27000: 2014 define a la seguridad de la información como la preservación de la integridad, confidencialidad y disponibilidad de la información, por tanto podemos asumir que un 90% de los incidentes analizados tienen relación con la seguridad de la información, la cual es una cifra alarmante y que debe mostrar la criticidad de no gestionar la seguridad de forma prolija.

Por otro lado, en el estudio se analizan los principales sectores afectados  siendo los de mayor afectación los siguientes: Tecnología, Medios y Telecomunicaciones (TMT) 25.0%, Gobierno 22.8%, Manufactura 15.1% y Servicios Financieros 12.1%

De estos datos, se observa que la industria  de servicios financieros, que tradicionalmente,  se la percibía como la de mayor afectación, en realidad no tiene una ubicación estelar. Y esto se debe,  en el caso de Ecuador a las exigencias normativas para administración de riesgo operativo e implementación del estándar PCI-DSS y la madurez alcanzada en el tiempo que hacen que el impacto de los incidentes de seguridad se haya reducido significativamente.

La pregunta que nace es ¿por qué los otros sectores tienen el mayor número de incidentes? Y la respuesta es por la información que manejan. En el mundo digital en el que vivimos, quienes generan valor de la información son quienes lideran los procesos de cambio y están a la vanguardia en innovación, por tanto la información representa un activo de alto valor. Este activo es apetecido en un mercado negro que paga por información privilegiada lo que motiva a que los cibercriminales apuesten por incrementar “su inventario” y comercializarlo. Como hecho destacable, en el año 2013 se emitió el Acuerdo Ministerial Nro. 166 que obliga algunas instituciones del sector público a implementar el Esquema Gubernamental de Seguridad de la Información, el cual es una adaptación de la familia ISO 27001. Este esquema ha creado una línea base de seguridad robusta, la cual irá madurando en el tiempo.

Un enfoque basado en riesgos permitirá a las organizaciones enfocarse en lo significativo, invirtiendo de forma inteligente en las diferentes iniciativas de seguridad de la información.

Llama la atención la presencia del sector Manufactura en un tercer lugar, y vemos cómo los cibercriminales han encontrado un nicho importante para delinquir. La capacidad de atacar las redes industriales, las cuáles normalmente no tienen niveles mínimos de protección, más un gobierno de seguridad de la información en su mayoría inmaduro, ha hecho que este sector incremente su presencia en el Radar. Internet de las Cosas está revolucionando los procesos productivos con beneficios tangibles, no obstante incrementa la superficie de ataque de las empresas lo que implica que el análisis de riesgo de una empresa de manufactura debe ir más allá del ERP y los procesos que soporta.

Los resultados de este estudio indican que  los cibercriminales identifican el valor de los activos de información y la dependencia de TI de las organizaciones para seleccionar sus objetivos, por tanto las organizaciones deben estructurar sus esquemas de protección desde una óptica de riesgos, independiente de su naturaleza, tamaño o ingresos anuales.

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *