Documente Academic
Documente Profesional
Documente Cultură
CARTA
EDITORIAL
A medida que las empresas se suman a la Transformación Digital, la importancia de la ciberseguridad
crece, ya que el entorno cada vez es más peligroso. En 2015, Symantec descubrió más de 430 mi-
llones de nuevas piezas únicas de malware, 36% más que el año anterior1, lo cual revela una mayor
sofisticación en las capacidades y métodos de distribución de los cibercriminales.
Este año, la nueva tendencia en ciberataques fueron las familias de malware, las cuales son simples,
pero altamente efectivas y están causando una destrucción rápida en todo el mundo, además de
que, por primera vez, el mundo fue testigo de un fenómeno como el ransomware ‘WannaCry’2, el cual
afectó la infraestructura pública y las instalaciones médicas en varios países, de acuerdo con el Infor-
me de medio año sobre tendencias de ataques cibernéticos elaborado por Check Point.
Sin duda, las amenazas han crecido de forma exponencial, por lo que las organizaciones deben contar
con una estrategia de ciberseguridad capaz de proteger su información y garantizar la continuidad del
negocio. De lo contrario, las consecuencias pueden ser catastróficas.
Por esta razón, en IT Business Solutions nos dimos a la tarea de crear esta guía, la cual muestra el
panorama a nivel mundial de la ciberseguridad en 2017, así como en México. También incluimos una
mención sobre la Estrategia de Ciberseguridad Nacional lanzada en noviembre de este año, y finaliza-
mos con una serie de recomendaciones para que las empresas construyan sus propias estrategias de
seguridad informática, de cara a los desafíos del futuro.
Los editores
CONTENIDO
1. El panorama de la ciberseguridad a nivel mundial
2. Más ciberataques, menos seguridad
3. Ciberseguridad en América Latina
4. México y la ciberseguridad
5. Estrategia Nacional de Ciberseguridad (ENCS)
6. Seguridad informática, mucho más que protección del negocio
7. ¿Cómo construir una efectiva estrategia de ciberseguridad?
8. Conclusiones
1.https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
2. https://www.checkpoint.com/downloads/resources/2017-cyber-attack-trends.pdf
ITBS Guia definitva sobre cyberseguridad
EL PANORAMA DE LA CIBERSEGURIDAD
A NIVEL MUNDIAL
En junio pasado, la naviera Maersk, considerada la negocios, incluidos todos los de energía, mantuvieron
más grande del mundo, fue una de las víctimas de operaciones normales. El caso de esta naviera es solo
un ciberataque global llamado Petya, un ransomwa- un ejemplo de cómo los ciberataques pueden afec-
re basado en el mismo código de explotación de Wan- tar a una empresa, sin importar su tamaño, y generar
naCry, un virus que ya había afectado a varias empre- pérdidas millonarias. Un ciberataque global tiene el
sas un mes antes. potencial de desencadenar pérdidas económicas por
53,000 millones de dólares (mdd), lo cual equivale a
De acuerdo con información de la empresa1, este los costos de un desastre natural como la tormenta
ciberataque provocó que los sistemas de TI estuvie- Sandy en 2012, según el análisis Counting the cost:
ran inactivos en varios sitios y unidades de negocio. Cyber exposure decoded2, elaborado por Lloyd’s, y
Dicha situación dio como resultado que la naviera de Cyence.
origen danés registrara pérdidas de entre 200 y 300
millones de dólares (mdd). Por si fuera poco, casi cada empresa a nivel mundial
(97%) ha experimentado alguna clase de ataque,
El malware se distribuyó a través de un software de pero menos de un cuarto (22%), se siente prepara-
contabilidad ucraniano llamado MeDoc, que se uti- do para enfrentarlos, de acuerdo con el reporte Ta-
liza para presentar declaraciones de impuestos en king the offensive,3 elaborado por el Foro Económico
Ucrania. El programa contenía puertas traseras en las Mundial y la consultora KPMG.
redes de usuarios que el software malicioso utilizaba
para ingresar a través del sistema de actualización Otros datos reveladores son que 55% de las empre-
automática. sas han visto un incremento en los ciberataques, pero
sólo una minoría (23%), tiene un seguro para cubrir el
Tan pronto como Maersk se dio cuenta de que los costo de un incidente de este tipo. Ante este panora-
sistemas se habían visto afectados, emprendió ac- ma, es urgente que las empresas tomen conciencia
ciones para responder y cerró las redes infectadas. sobre la importancia de establecer planes de acción
El malware sólo afectó los negocios relacionados con en materia de ciberseguridad.
contenedores de Maersk y, por lo tanto, seis de nueve
4.https://www.lloyds.com/news-and-insight/press-centre/press-releases/2017/07/cyber-attack-report
7EB88BAD-F1AE-4E86-9B95-FF32017D31F9/APMM_Interim_Report_Q2_2017.pdf
http://files.shareholder.com/downloads/ABEA-3GG91Y/5603871331x0x954061/
3. http://investor.maersk.com/releasedetail.cfm?ReleaseID=1031559
ITBS Guia definitva sobre cyberseguridad
MÁS CIBERATAQUES ,
MENOS SEGURIDAD
TOP MALWARE FAMILIES
In the following graph we present the percentage of organizations globally that were
affected by each malware family.
Global
Cada nuevo segundo, los cibercriminales crean 23.5% 19.7% 10.4% 7.9% 7.7% 7.4% 6.5% 6.2% 6.2% 5.9%
y distribuyen nuevo malware, además de que
lanzan nuevas campañas de phishing. Este
año, por ejemplo, destacó la creación de fami-
lias de malware. En el siguiente gráfico, presen-
tamos el porcentaje de organizaciones a nivel
mundial que se vieron afectadas por esta ten- RoughTed
Fireball
dencia, según Check Point:
CryptoWall
Exploit Kit
Kelihos
Defender
WannaCry
Hacker
Nivdort
RIG
Zeus
Figure 1: Most Prevalent Malware Globally
CIBERSEGURIDAD EN
AMÉRICA LATINA
Desde 2012, los códigos maliciosos se han po-
sicionado como la principal causa de inciden- Incidentes de seguridad en empresa de Latinoamérica (2016)
tes de seguridad en las compañías de América
Infección de malware
Latina. De acuerdo con el ESET Security Re- Ransomware
port Latinoamérica 2017, éstos registraron un Phishing
tipo de malware. 0 10 20 30 40 50
Mientras tanto, 2017 ha sido un año complejo para América Latina en materia de ciberseguridad. Según in-
formación de Kaspersky Lab, este año, se han registrado diferentes ataques financieros, como Ploutus, Ice5,
Prilex, entre otros, mientras que WannaCry y luego Petya pusieron en jaque a muchas compañías no solo en
Europa, sino también en la región.
“Sin duda, la creatividad de los cibercriminales de la región continúa en expansión ya que siguen buscando
nuevas maneras de comprometer los computadores de las víctimas y robar su dinero”, indica Kaspersky Lab.
5.https://www.globalservices.bt.com/uk/en/point-of-view/disrupting-cyber-crime
ITBS Guia definitva sobre cyberseguridad
MÉXICO Y LA
CIBERSEGURIDAD
México está considerado un país en un estado medio de madurez en materia de ciberseguridad, lo cual significa
que ha desarrollado compromisos complejos y participa en programas e iniciativas de seguridad cibernética, de
acuerdo con el Índice de Ciberseguridad Global 2017 (Global Cybersecurity Index 2017)1, elaborado por la Unión
Internacional de Telecomunicaciones (ITU por sus siglas en inglés).
Este índice considera cinco pilares:
1 Legal.
Se refiere a la existencia de instituciones y marcos legales que se ocupan de la ciber-
seguridad y los ciberdelitos.
2 Técnico.
Se basa en la existencia de instituciones técnicas y marcos que se ocupan de ciber-
seguridad.
3 Organizacional.
Considera la existencia de instituciones de coordinación de políticas y estrategias
para el desarrollo de la ciberseguridad a nivel nacional.
4 Desarrollo de capacidades.
Implica la existencia de programas de investigación, desarrollo, educación y capaci-
tación, además de profesionales certificados y agencias del sector público que fo-
mentan la creación de dichas capacidades.
5 Cooperación.
Medida que se basa en la existencia de alianzas, marcos de cooperación y redes de
intercambio de información.
6. https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-PDF-E.pdf
ITBS Guia definitva sobre cyberseguridad
En América, México ocupa la tercera posición, detrás de Canadá y de Estados Unidos en materia de
ciberseguridad, con una calificación de 0.66.
Americas
Top three ranked countries in the Americas
Capacity
Country GCI Score Legal TechnicalO rganizational Cooperation
Building
Top three ranked countries and an average score of all the Americans
30
20
10
0
Legal Technical Organizational Capacity Cooperation
measures measures measures Building
United States of AmericaC anada México
Fuente: Global Cybersecurity Index 2017
ITBS Guia definitva sobre cyberseguridad
ESTRATEGIA NACIONAL
DE CIBERSEGURIDAD (ENCS)
En 2014, el cibercrimen le costó a México 3,000 millones de dólares (mdd) y afectó al sector público, privado
y civil, según el último estudio en la materia realizado por la Organización de los Estados Americanos (OEA),
“Tendencias de Seguridad en América Latina y el Caribe”1. Ante este escenario, el gobierno mexicano, en co-
laboración con la OEA, creó la nueva Estrategia Nacional de Ciberseguridad (ENCS), la cual fue presentada en
noviembre de 2017.
De acuerdo con el documento, su objetivo general “es identificar y establecer las acciones en materia de
ciberseguridad aplicables a los ámbitos social, económico y político que permitan a la población y a las orga-
nizaciones públicas y privadas, el uso y aprovechamiento de las TIC de manera responsable para el desarrollo
sostenible del Estado Mexicano”.
Su visión es que, en 2030, “el país sea una nación resiliente ante los riesgos y amenazas en el ciberespacio, y
que aprovecha con responsabilidad el potencial de las TIC para el desarrollo s ostenible en u
n entorno confia-
ble para todos”.
• Cultura de ciberseguridad
• Desarrollo de capacidades
• Coordinación y colaboración
• Investigación, desarrollo e innovación TIC
• Estándares y criterios técnicos
• Infraestructuras críticas
• Marco jurídico y autorregulación
• Medición y seguimiento
De acuerdo con el documento, en una primera etapa,
la Comisión Intersecretarial para el Desarrollo del Go-
Los cinco objetivos estratégicos son:
bierno Electrónico (CIDGE), a través de la Subcomisión
de Ciberseguridad, es la entidad que se encargará de
• Sociedad y derechos
coordinar al Gobierno para articular los esfuerzos de
• Economía e innovación
los diferentes protagonistas, con la finalidad de cum-
• Instituciones públicas
plir con los objetivos de la ENCS.
• Seguridad pública
• Seguridad nacional
7 . https://www.gob.mx/cms/uploads/attachment/file/271884/Estrategia_Nacional_Ciberseguridad.pdf
ITBS Guia definitva sobre cyberseguridad
SEGURIDAD INFORMÁTICA,
MUCHO MÁS QUE PROTECCIÓN
DEL NEGOCIO
Si bien la ENCS es un esfuerzo importante en materia jor a los clientes. Igualmente, la seguridad es clave
de ciberseguridad desde la perspectiva del sector pú- cuando las empresas usan la tecnología para impul-
blico, las empresas deben trabajar para que su infor- sar las eficiencias internas, según el análisis del WEF
mación esté protegida a través de una efectiva estra- y de KPMG.
tegia de seguridad. Dicha estrategia debe garantizar
tres aspectos básicos: confidencialidad, integridad y Sin una seguridad sólida, el potencial para obtener
disponibilidad. los beneficios de la tecnología es limitado. El desafío
es explotar las oportunidades y administrar el riesgo,
La confidencialidad se refiere a que sólo los usuarios por lo que las empresas de cualquier tamaño y lugar
autorizados puedan acceder a la información; la in- deben apostar por una estrategia efectiva de ciberse-
tegridad implica que no pueda modificarse, a menos guridad.
que el dueño o quienes tengan acceso a ella así lo de-
seen y disponibilidad, ya que de nada sirve la infor- “El mensaje de la industria de ciberseguridad no es
mación si no está disponible cuando se necesita. inculcar miedo a sufrir ataques y amenazas, sino que
De acuerdo con Chema Alonso, CDO (Chief Data Offi- las compañías no permitan que la seguridad sea algo
cer) de Telefónica y fundador de ElevenPaths, la uni- que impida que sus negocios crezcan. Hay mucha in-
dad de ciberseguridad de Telefónica, “la seguridad al formación expuesta en esta era digital y en el merca-
100% no existe”1 por lo que es fundamental que las do hay herramientas y soluciones que ayudan a que
organizaciones aprendan a gestionar los riesgos, ya esto no ocurra. No es un asunto de miedo o de te-
que “no hay nada peor que pensar que estás seguro”. rror”,dijo Ray Jiménez, líder de ventas de Check Point
para América Latina, en entrevista para The IT Mag.
En una entrevista hecha por Forbes en abril de 2017,2
Alonso indicó que a lo largo de su carrera, ha visto
“cómo afectan los ataques cibernéticos a las em-
presas en diferentes países. En el caso de México,
al igual que sucede en la mayoría de los países,
las empresas necesitan gestionar la seguridad de
una manera madura, aprendiendo cuáles son los
riesgos para su negocio y tomando las decisiones
adecuadas en cada caso. A veces hay que aceptar
el riesgo, otras veces hay que eliminar el riesgo, y
otras buscar la colaboración externa para transfe-
rir el riesgo y estar preparados en el caso de que
suceda”.
8. http://www.elcomercio.es/asturias/siero-centro/seguridad-existe-aprender-20171004003659-ntvo.html
9. https://www.forbes.com.mx/chema-alonso-una-entrevista-con-el-hacker-espanol-mas-famoso/
ITBS Guia definitva sobre cyberseguridad
01
Priorizar los activos de información en función de los riesgos co-
merciales.
04
Integrar la ciberseguridad en el entorno tecnológico.
05
Implementar defensas activas para descubrir ataques de forma
proactiva.
06
Realizar pruebas de manera continua para mejorar la respuesta a
incidentes en todas las áreas.
Una respuesta inadecuada a una mala práctica, no solo por parte del
equipo de tecnología, sino también de áreas como marketing, asuntos
públicos o servicio al cliente, puede ser tan dañina como la violación
misma. Las organizaciones poner en marcha simulacros para mejorar su
capacidad de respuesta efectiva en tiempo real, ante cualquier contin-
gencia de seguridad.
07
Reclutar personal con el perfil adecuado para proteger los activos
de información.
Con frecuencia, los usuarios son la mayor vulnerabilidad que tiene una
organización: hacen clic en los enlaces que no deberían, eligen contrase-
ñas inseguras o envían archivos confidenciales por correo electrónico a
grandes listas de distribución. Las organizaciones necesitan segmentar
a los usuarios según los activos a los que necesitan acceder, y ayudar
a cada segmento a comprender los riesgos asociados con sus acciones
cotidianas.
10.https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-blog/at-the-co-
re-of-your-cybersecurity-stratgy-knowing-your-capabilities
ITBS Guia definitva sobre cyberseguridad
CONCLUSIONES
Sin duda, las empresas deben construir una cultura digital resiliente, al equilibrar los de-
safíos y preguntarse continuamente: ¿cuán importante es la información sensi-
ble para el futuro del negocio?, ¿qué tan sofisticados son los atacantes?, ¿qué tan im-
portantes son las capacidades de ciberseguridad y la protección para los clientes?
Si bien no existe la seguridad perfecta, es importante que las organizaciones estén cons-
cientes de las amenazas que emergen todos los días y debido a la demanda cada vez ma-
yor de soluciones basadas en el Internet de las Cosas (IoT), por ejemplo, se está acele-
rando la cantidad de dispositivos vulnerables, lo que significa que hoy más que nunca,
los líderes de las organizaciones deben pensar fuera del marco de protección actual.
Por último, es necesario que las organizaciones comprendan que la ciberseguridad es una res-
ponsabilidad compartida entre todos los interesados. Tal como hemos visto, WannaCry fue solo
una pequeña muestra de lo que podría suceder en el futuro. Se trató solo de otra llamada de
atención para que las organizaciones sean más inteligentes que los delincuentes, por lo que de-
ben aumentar la resistencia cibernética y diseñar sistemas y equipos para prevenir ataques.
ITBS Guia definitva sobre cyberseguridad
FUENTES
1. https://www.lloyds.com/news-and-insight/press-centre/press-releases/2017/07/cyber-at-
tack-report
2. http://investor.maersk.com/releasedetail.cfm?ReleaseID=1031559
3. http://files.shareholder.com/downloads/ABEA-3GG91Y/5603871331x0x954061/7EB-
88BAD-F1AE-4E86-9B95-FF32017D31F9/APMM_Interim_Report_Q2_2017.pdf
4. https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-PDF-E.pdf
5. https://www.gob.mx/cms/uploads/attachment/file/271884/Estrategia_Nacional_Ciberse-
guridad.pdf
6. https://www.symantec.com/content/es/mx/enterprise/other_resources/b-cyber-securi-
ty-trends-report-lamc.pdf
7. https://www.weforum.org/agenda/2017/01/4-steps-to-protect-your-business-against-cy-
bercrime/
8. https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-blog/
at-the-core-of-your-cybersecurity-strategy-knowing-your-capabilities
9. https://www.gartner.com/smarterwithgartner/5-trends-in-cybersecuri-
ty-for-2017-and-2018/
10. https://www.gartner.com/smarterwithgartner/5-trends-in-cybersecuri-
ty-for-2017-and-2018/
11. https://www.checkpoint.com/downloads/resources/2016-security-report.pdf
12. https://www.checkpoint.com/downloads/resources/2017-cyber-attack-trends.pdf
13. https://www.forbes.com.mx/chema-alonso-una-entrevista-con-el-hacker-espa-
nol-mas-famoso/
14. https://www.weforum.org/agenda/2017/05/don-t-shed-tears-over-wannacry-nine-
steps-to-protect-your-data-from-ransomware
15. https://www.globalservices.bt.com/uk/en/point-of-view/disrupting-cyber-crime