Informe de ciberresiliencia 2023
Este artículo 4 es parte 16 de este informe.
October 11, 2023 / 3 minuto(s) de lectura
Las ciberamenazas internas son un riesgo empresarial creciente
Para 2025, se espera que la mitad de los ciberataques sean fruto de errores humanos o acciones malintencionadas.
Conclusiones principales
- Los clientes pasaron de un perfil «básico» a un perfil «gestionado» de riesgo global interno en 2022.
- Dos de cada cinco empresas informaron de la falta de controles en el centro de operaciones de seguridad (SOC).
- Casi la mitad de las empresas no han separado su software de los sistemas de aplicación al final de su vida útil.
El riesgo interno es una preocupación constante para las empresas, ya que los humanos, por su propia naturaleza, pueden cometer errores, y los atacantes suelen aprovecharse de esta vulnerabilidad. Para 2025, se espera que la mitad de los ciberataques sean fruto de errores humanos o acciones malintencionadas. Se trata de una realidad para la que las empresas deben prepararse.1 Los nuevos modelos de negocio digital plantean más retos. Por ejemplo, los trabajadores temporales pueden introducir vulnerabilidades, y la mayor accesibilidad de las redes por parte de terceros puede comprometer la seguridad.
El phishing sigue siendo el vector más común para el acceso inicial a la red, lo que coloca al interno (o empleado) en primera línea. Los avances en la sofisticación social, la fatiga de los usuarios y el phishing selectivo basado en el contexto contribuyen a centralizar este riesgo.2 Los ciberdelincuentes siguen cambiando sus métodos a medida que aprovechan los acontecimientos actuales. Hoy en día, la gente hace clic sin pensar en correos electrónicos de phishing que aprovechan el conflicto entre Ucrania y Rusia para implorar una respuesta emocional a la guerra. Está surgiendo una nueva tendencia, el phishing de consentimiento, en el que los atacantes engañan a los usuarios para que concedan permisos a aplicaciones maliciosas en la nube. Una vez que hace clic, estas aplicaciones pueden acceder a servicios legítimos en la nube y a los datos de los usuarios. La formación y las simulaciones de pruebas de phishing siguen siendo las áreas en las que menos se invierte en el ámbito de la mitigación de riesgos cibernéticos, a pesar de ser la contramedida más importante para frenar los ataques de ransomware.3 Aunque algunos actos de ciberdelincuencia disminuyeron en 2022, los agentes de acceso a datos nunca dejaron de obtener acceso no autorizado a las redes e infraestructuras de los clientes. Una tendencia que hay que tener en cuenta son los agentes de datos y los atacantes de ransomware que buscan comprar datos y acceso de forma oportunista a los empleados de las empresas. Para lograrlo, uno de los principales métodos utilizados es la explotación de vulnerabilidades.4 Esta tendencia pone sobre la mesa un nuevo riesgo de amenaza interna en el que los ciberdelincuentes buscan abiertamente empleados dispuestos a vender los datos de una empresa para su beneficio personal. Este riesgo en constante evolución puede incluir robo de datos, información de dominios privados, propiedad intelectual y secretos comerciales.
A medida que aumente la integración de los sistemas y las organizaciones dependan más de terceros, también habrá que vigilar más los riesgos internos. Las organizaciones se centrarán más en la detección y respuesta de terminales (EDR), el centro de operaciones de seguridad (SOC) y la seguridad de las redes. Del mismo modo, seguirán centrándose en las prácticas laborales seguras y en la protección frente a la pérdida de datos si se mantiene el puesto de trabajo híbrido.
Resultados de los datos de los controles de señal de alarma complementarios de ransomware: informe de clientes de Aon
La encuesta realizada por Aon con los principales proveedores de seguros indica que la seguridad de los datos figura entre los cinco riesgos principales de este ámbito.4 Sin embargo, se observa una tendencia preocupante cuando se analizan todos los sectores: la mayoría señala brechas considerables en sus controles de seguridad de datos, lo que pone de manifiesto la necesidad de mejorar las medidas de ciberseguridad. Según los datos de CyQu, las puntuaciones fueron un poco superiores en gobernanza y protección de datos, ya que los clientes pasaron de un perfil de riesgo «básico» a uno «gestionado» en 2022. Curiosamente, la concienciación y formación de los usuarios fue la que más mejoró en todas las categorías de seguridad de los datos. Esta tendencia sugiere que la inversión continua en formación sobre riesgos cibernéticos no solo es beneficiosa, sino crucial para las empresas que tratan de mitigar la creciente amenaza de los riesgos internos.
Puntuaciones de CyQu en seguridad de los datos
| Seguridad de los datos | 2021 | 2022 | Cambio |
|---|---|---|---|
| Clasificación de datos | 2.0 | 2.2 | +.2 |
| Concienciación y formación de los usuarios | 2.6 | 3.1 | +.5 |
| Protección de datos | 2.3 | 2.6 | +.3 |
| Gobernanza | 2.3 | 2.6 | +.3 |
| Gestión de riesgos | 2.0 | 2.4 | +.4 |
Clasificación de la madurez del riesgo de CyQu
Inicial: 1.0 - 1.9
Básica: 2.0 - 2.5
Gestionada: 2.6 - 3.4
Avanzada: 3.5 - 4.0
Casi la mitad de las empresas (el 49 %) no han separado su software de los sistemas de aplicación al final de su vida útil, lo que puede aumentar su vulnerabilidad ante las ciberamenazas. Para agravar aún más este problema, el 40 % de las empresas carecen de los controles necesarios en el SOC, por lo que están más expuestas al riesgo interno. Estos datos subrayan la importancia de unas medidas de ciberseguridad sólidas para reducir las amenazas internas. En cuanto a los controles de EDR, los datos de CyQu muestran un panorama más sólido, ya que el 70 % de los clientes declararon que la EDR de su organización cubría la totalidad de las estaciones de trabajo.
47%
afirma que el software no se separa de los sistemas de aplicación al final de su vida útil
40%
indica la falta de un centro de operaciones de seguridad (SOC)
70%
afirma que la EDR de su organización cubría el 100 % del total de las estaciones de trabajo
Referencias
1 «Predicts 2023: Cybersecurity Industry Focuses on the Human Deal». Gartner. Informe. 25 de enero de 2023. https://www.gartner.com
2 «ENISA Threat Landscape 2022». Informe. Unión Europea. Noviembre de 2022. ENISA Threat Landscape 2022 — ENISA (europa.eu)
3 «Global Ransomware Damage Costs Predicted to Reach $20 Billion (USD) by 2021». Artículo. Cybersecurity Ventures. Obtenido de https://www.cybersecurityventures.com. Cyber Awareness Training: Success Starts with Meaningful Engagement of People | Aon
4 Trends to Watch: Cyber Q4 2022 Global Markets Insight. Aon. Informe. Enero de 2023. Cover – Q4 2022 Global Market Insights (aon.com)
Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.
La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.
Gestionar el riesgo cyber en seis temas destacados.
El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.
