4 Inicio. Ciberseguridad: Gestionando los riesgos de ataques internos. Boletín de Servicios de Asesoría en Riesgos No

www.pwc.com/ve Ciberseguridad: Gestionando los riesgos de ataques internos Boletín de Servicios de Asesoría en Riesgos No. 6 - 2015 4 Inicio Bolet

2 downloads 14 Views 326KB Size

Recommend Stories


Origen de los Riesgos
Origen de los Riesgos 1 Origen de los Riesgos Origen Riesgos Riesgos Derivados de las Condiciones de Seguridad Riesgos Derivados de las Condiciones

Riesgos Corporativos de ISAGEN RIESGOS CORPORATIVOS DE ISAGEN
Riesgos Corporativos de ISAGEN RIESGOS CORPORATIVOS DE ISAGEN Enero de 2016 Riesgos Corporativos de ISAGEN Resumen Ejecutivo En ISAGEN se ha reali

ANALISIS DE RIESGOS EN SISTEMAS
ANALISIS DE RIESGOS EN SISTEMAS Unidad 6: Proyecto de análisis de riesgos Objetivo específico 6: El alumno aprenderá como evaluar e interpretar los ro

Story Transcript

www.pwc.com/ve

Ciberseguridad: Gestionando los riesgos de ataques internos Boletín de Servicios de Asesoría en Riesgos No. 6 - 2015

4 Inicio

Boletín de Servicios de Asesoría en Riesgos - No. 6 - 2015 Contenido

Contenido Haga click en los enlaces para navegar a través del documento 4 Introducción 4 ¿Por qué las amenazas internas son tan insidiosas? 4 ¿Qué deben hacer las organizaciones? 4 Construyendo un programa contra “Insiders” 4 Un componente integral de su práctica de gestión de riesgos 4 Créditos / Suscribirse

Cerrar

Imprimir

Página anterior

Página siguiente

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos Introducción Cuando hablamos de delitos cibernéticos, los incidentes causados por agentes externos dominan los titulares de noticias. Es usual, y hasta excitante reflejar la problemática de la seguridad con casos sonados de ataques externos a marcas importantes u organismos estatales, pero los altos ejecutivos saben que las brechas de seguridad por atacantes internos o “insiders” (empleados y/o socios de negocios con accesos) son mucho más frecuentes en ocurrencia, y pueden ser aún más perjudiciales, y sin embargo, la mayoría de las empresas no están preparadas para estas amenazas. Considere lo siguiente: En nuestra última Encuesta Global de Delitos Económicos1, 40% de los encuestados venezolanos manifestaron haber sido víctima del Cibercrimen, y casi dos tercios (62%) de los encuestados que fueron víctimas de algún tipo de delito, reportaron que el perpetrador correspondía a personal interno de la organización. 1 PwC: GECS 2014: Capítulo Venezuela

Estos resultados evidencian que la principal preocupación de los negocios debe ser el control interno, y sin embargo, solo el 49% de los delitos fueron detectados por la suma de controles corporativos y la cultura interna de la organización. Mientras que los empleados actuales y anteriores son históricamente la fuente de la mayoría de los compromisos internos, hoy se añaden a esta lista los socios del negocio y terceras partes de confianza, quienes también pueden cometer, consciente o inconscientemente, fallas que faciliten la ciberdelincuencia.

Las terceras partes con accesos de confianza a las redes de la organización representan un riesgo potencial, dado que la mayoría de las organizaciones no evalúan adecuadamente sus prácticas de Ciberseguridad, y esto es particularmente cierto en la medida en que nos acercamos a empresas de servicios medianas o pequeñas que se incorporan en los ciclos del negocio bajo esquemas de outsourcing o en alianza para la construcción de cadenas de suministro. Sólo el 40% de los que respondieron a la encuesta Global de Delitos Económicos reportaron poseer controles corporativos para prevenir y detectar las amenazas.

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos ¿Por qué las amenazas internas son tan insidiosas? Los actores internos tienen ventajas sobre los adversarios externos, ya que conocen a la organización, poseen acceso autorizado a los datos y sistemas y, por tanto, no tienen necesidad de violar demasiados controles de seguridad. Incluso los “insiders” con acceso a la red que no poseen acceso autorizado a ciertos tipos de sistemas y datos, ya cuentan con ventaja y pueden utilizar debilidades que están fuera de la atención del CISO2. El “insider” sabe exactamente dónde buscar la información más valiosa de la compañía, incluyendo listas de clientes, estrategias de mercado, iniciativas de investigación y desarrollos en curso. A menudo, los empleados tienen acceso a la propiedad intelectual y secretos comerciales que son valiosos para externos: Por ejemplo, empleados de empresas del sector agrícola con sede en EE.UU., supuestamente proporcionaron muestras de unas semillas creadas a través de bio-ingeniería y su secuencia de genes a un 2 Chief Information Security Officer

grupo de criminales que planearon venderlas a empresas chinas. Una de esas empresas estadounidenses dijo que el robo resultó en la pérdida de al menos cinco años de investigación y un mínimo de $ 30 millones en ingresos3. Cuando los trabajadores tienen acceso a datos de este valor, la tentación de la ganancia económica puede convertirse en una motivación significativa. La mayoría de los empleados comienzan un trabajo con intenciones honestas y por lo general se convierten en una amenaza como resultado de posteriores dificultades financieras personales, insatisfacción laboral, conflicto interpersonal, reducción de la fuerza de trabajo, o para asegurar una posición más lucrativa con un competidor. Un ejemplo de ello: un empleado de una compañía de del sector petrolero, después de enterarse de la pronta terminación de su relación laboral, apagó los servidores de red de la organización y borró información crítica para el negocio.

Como resultado, la empresa fue incapaz de comunicarse plenamente durante 30 días y tenía un acceso limitado a los datos y aplicaciones, ocasionando en una pérdida de más de un millón de dólares4. Otros empleados podrían reaccionar en contra de las diferencias ideológicas con la organización o por percibir malas prácticas corporativas. Basta considerar la fuga masiva de datos de vigilancia del gobierno de los EE.UU, por parte de un contratista de defensa ideológicamente desilusionado, para entender el enorme daño potencial de una situación de este estilo.

3 FBI: Ciudadano Chino arrestado por conspirar para robar secretos comerciales, 02 de julio 2014 4 Departamento de Justicia de los EE.UU: Cuatro años de sentencia federal para el atacante de Enervest, 20 de Mayo 2015

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos ¿Por qué las amenazas internas son tan insidiosas? (cont.) Los potenciales “insiders” a menudo presentan comportamientos reveladores antes de cometer un delito, tales como horarios de trabajo irregulares, descensos en el rendimiento o asistencia, o comentarios poco profesionales realizados a los compañeros de trabajo. A veces, estos signos son evidentes para los clientes externos, terceras partes, y adversarios externos. Dichas actitudes representan una invitación a los atacantes externos, (Estados adversos, grupos del crimen organizado o competidores) quienes se dirigen a los empleados vulnerables para ayudarles a robar o ganar acceso a los datos sensibles. Al hacerlo identifican empleados en actitud adversa a la organización, que estén experimentando problemas financieros, quienes están en busca de nuevas oportunidades de empleo o ganancias económicas adicionales.

Los ex empleados pueden ser igualmente útil para los atacantes externos. En 2014, por ejemplo, dos ingenieros fueron condenados por el robo de secretos comerciales y espionaje económico contra un fabricante de productos químicos estadounidense. Influencias externas Agencias de inteligencia de otros estados

Crimen organizado

Hacktivismo

Competidores 5 FBI, Dos individuos encontrados culpables en caso de conspiración para vender secretos comerciales a empresas chinas, 05 de marzo 2014

Los ingenieros pagaron a ex empleados de la empresa para proporcionar la información, que luego vendieron a empresas chinas de propiedad estatal5. Figura N° 1: Influencias, motivos y comportamientos de las amenazas internas

Motivos

Comportamientos

• Problemas financieros, personales o codicia • Notificación o temor de despido • Descontento laboral o venganza • Conflictos interpersonales • Acceso a los sistemas críticos para extorsionar y obtener ganancias financieras • Interrumpir sistemas críticos por razones ideológicas

• Utilizan los accesos a los sistemas y datos • Cometen los crímenes desde el lugar de trabajo • Operan durante el horario regular en lugar de fuera de horas • Exportan datos estructurados en archivos no estructurados en los equipos de trabajo, recursos compartidos de red o medios externos • Adjuntan archivos a correos electrónicos personales basados en la Web • Utilizan dispositivos de almacenamiento USB • Imprimen datos críticos del negocio a granel • Instalan software no autorizado en las computadoras de trabajo • Disminución del rendimiento y/ o asistencia laboral

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos ¿Qué deben hacer las organizaciones? La minimización y gestión de los crímenes cometidos por actores internos exige a las organizaciones a desarrollar y ejecutar un programa gestión de riesgos asociados a amenazas internas, alineado e integrado con las estrategias del negocio, de Ciberseguridad, y de protección de datos. Los bloques de construcción básicos de un programa de este tipo son: identificar los activos más valiosos para la organización que puedan ser amenazados; proteger estos activos contra las amenazas internas; detectar cuando las amenazas se manifiestan en su organización; responder y limitar la potencia del daño; y recuperar para restaurar el ambiente a un estado mejor al original.

Identificar

Proteger

Detectar

Responder

Recuperar Figura N° 2: Etapas de un programa de gestión de riesgos de Ciberseguridad

Es importante entender que el riesgo de un “insider” no puede ser administrado solo a través de las tecnologías de información (TI), de la seguridad de la información o por funciones de seguridad corporativa. La tecnología por si sola tampoco puede anticiparse a las amenazas internas. Una gestión eficaz requiere de un enfoque disciplinado, basado en el riesgo, multidisciplinario que incluye a TI, seguridad de la información, seguridad corporativa, recursos humanos (RRHH), legal, auditoría, y otras partes relacionadas. También exige la participación de las líneas de negocio, así como la aplicación de políticas de privacidad de datos. Un paso para orientar a las empresas en materia de Ciberseguridad, incluida la integración de la gestión de amenazas internas en la estrategia de seguridad cibernética, es el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST), constituido por un conjunto de directrices voluntarias para elevar el nivel de la seguridad cibernética.

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos ¿Qué deben hacer las organizaciones?(cont.)

Construyendo un programa contra los “Insiders”

Creemos que este marco ofrece ventajas para las organizaciones en todos los sectores para mejorar la seguridad y la gestión de riesgo, mediante la aplicación de directrices que faciliten un cambio estratégico del cumplimiento reactivo a un enfoque eficaz centrado en el riesgo y proactivo ante las amenazas y vulnerabilidades cibernéticas.

Las organizaciones pueden utilizar un enfoque dividido en fases para construir un programa de gestión de amenazas internas a través del tiempo, que cumpla con las funciones establecidas en el marco del NIST: identificar, proteger, detectar, responder y recuperar.

El marco sienta las bases para beneficios adicionales, incluyendo la colaboración y comunicación eficaz de inteligencia de seguridad entre los ejecutivos y organizaciones de la industria, mejoras potenciales en la gestión del riesgo empresarial y el cumplimiento normativo. Estos elementos son esenciales para la gestión de las amenazas internas a los datos y sistemas sensibles.

El primer elemento del Marco permite a la empresa desarrollar un entendimiento organizacional sobre la gestión de los riesgos internos. Se centra en los procesos que ayudan a la empresa a entender el contexto del negocio en cuanto a seguridad de la información, los recursos que apoyan las funciones críticas del negocio y los riesgos relacionados con atacantes internos. Este conocimiento puede ayudar a la organización a atender y dar prioridad a los esfuerzos de seguridad que sean coherentes con su estrategia de gestión de riesgos y las necesidades del negocio.

Identificar

Para llegar allí, los altos ejecutivos deben identificar y valorar los activos de información de la organización y determinar cuáles son sus “joyas de la corona” que, normalmente, son aquellos activos que apoyan directamente las funciones críticas del negocio. Adicionalmente, se debe determinar quién es responsable de proteger estos activos contra las amenazas internas. Para ello, se requiere de consenso entre los ejecutivos, líderes de línea de negocios y gerentes en cuanto a qué prioridades de protección deben ser aplicadas a los activos. Un líder de alto rango debe ser responsable ante la alta dirección, quien controlará los cambios necesarios y establecerá roles y responsabilidades para la gestión de los riesgos internos.

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos Construyendo un programa contra los “Insiders” (cont.) Más allá de saber qué datos y sistemas son valiosos para la empresa, es de vital importancia entender que sería más lucrativo para los delincuentes: Una forma de hacerlo es mediante el uso de actores externos, independientes de la organización, para ayudar a identificar los tipos de adversarios que puedan significar una amenaza. Estos actores también pueden brindar su apoyo para clarificar por qué un adversario podría amenazar un negocio, cómo podría hacerlo, y qué sistemas podrían ser sus objetivos. La comprensión de estas amenazas externas también ayudará a reducir la posibilidad de reclutamiento de empleados y contratistas por parte de un posible adversario.

1 2 3

¿Qué sistema generaría un alto impacto al negocio en caso de ser deshabilitado?

¿Qué datos, en caso de robo o daño, representarían una seria amenaza para el negocio? ¿Cómo se da prioridad a la protección de estos activos de alto valor?

Proteger

Luego que los datos de alto valor han sido identificados, las organizaciones deben establecer claramente dónde se almacenan, a lo largo de la empresa, estos activos y determinar quién tiene acceso a ellos. Todos los usuarios autorizados deben ser identificados por función de trabajo y ubicación geográfica. También resulta útil realizar una pequeña ciber-investigación para establecer un punto de referencia y, a continuación, determinar si alguno de estos usuarios se está comportando actualmente de forma sospechosa o maliciosa. La definición y medición de indicadores de riesgos de “insiders” técnicos y no técnicos será esencial: Estos indicadores deben basarse en una comprensión de cómo los actores internos acceden a los datos sensibles, que signos reveladores o pruebas expondrían sus acciones, y cómo la organización debería responder. Los indicadores técnicos están relacionados

con la forma como los actores internos usan sus computadoras y acceden a la red; los indicadores no técnicos están constituidos por la conducta humana verbal y no verbal. La identificación de los indicadores de riesgo que son relevantes ayudará a determinar la tecnología necesaria para monitorear el uso de los computadores y de la red, cómo configurar dicha tecnología y las políticas de recursos humanos, legales y éticas que se deben implementar. Para muchas empresas, puede ser una ventaja realizar una investigación de antecedentes más profunda para identificar a los empleados que puedan estar predispuestos a la actividad ilegal. A menudo, esta debida diligencia será solo necesaria para un subconjunto de los empleados. Además de considerar el potencial riesgo de los empleados, la evaluación de riesgos por cargos y los accesos asociados con los roles de los empleados puede ayudar a predecir y revelar potenciales riesgos internos.

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos Construyendo un programa contra los “Insiders” (cont.) Las organizaciones también deben evaluar una variedad de controles y componentes que, en conjunto, proporcionan la base para un programa de gestión de amenazas internas: herramientas de control de acceso, políticas y procesos, formación y sensibilización de los empleados, herramientas de detección y seguimiento, y métodos y técnicas de análisis. Las empresas también deben revisar sus procesos de soporte para la toma de decisiones, procesos de licitación, contratación y de evaluación de contratos, con el fin de mejorar su capacidad de detección y respuesta a incidentes. Al mismo tiempo, la gestión eficaz de terceros es parte vital de proceso para ayudar a evitar amenazas adicionales. Los empleados y directivos de la organización conforman la columna vertebral de un programa eficaz de gestión de amenazas internas, porque a menudo se encuentran en la posición de detectar comportamientos sospechosos e indicadores de riesgo. Como

resultado, inculcar una mentalidad de «reporte lo que vea» entre los empleados y los gerentes pueden ayudar a detectar las amenazas, e incluso disuadir al “insider”. La mayoría de las organizaciones tienen programas de capacitación en temas de ética y seguridad de la información que pueden servir como canales eficaces para comunicar las precauciones y los indicadores existentes. Estos programas también pueden ayudar a inculcar un sentido de responsabilidad personal y de propiedad que pueden ayudar a prevenir incidentes.

de antecedentes, entrevistas forenses, programas de capacitación, y procesos de apoyo a la toma de decisiones. Estas soluciones pueden producir una asombrosa cantidad de información y, como resultado, las herramientas de análisis de amenazas serán esenciales para proporcionar un contexto y una visión de las alertas de seguridad en tiempo real y los patrones de las amenazas. Este análisis también puede, en última instancia, ayudar a las organizaciones a priorizar y conducir operaciones de seguridad e investigaciones.

La tecnología, por supuesto, también juega un papel importante. Las empresas han invertido en innumerables soluciones de Ciberseguridad en los últimos 15 años, y muchas de ellas pueden ser calibrada e integradas con otras herramientas para mejorar la gestión de las amenazas internas.

Por último, la evaluación y actualización de las políticas corporativas diseñadas para monitorear y controlar el uso de las redes y computadores, pueden ayudar a las organizaciones a llevar a cabo una evaluación de riesgos más rigurosa.

Estas soluciones y procesos tecnológicos pueden incluir monitoreo de red y de equipos, prevención de pérdida de datos, investigaciones

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos Construyendo un programa contra los “Insiders” (cont.) Detectar

Mediante la mejora de las tecnologías existentes y la implementación de nuevas herramientas para controlar la plataforma tecnológica de la organización, se puede mejorar en gran medida la capacidad para gestionar y reducir los riesgos internos. La detección eficaz de los incidentes internos exige de las organizaciones la identificación de la actividad anómala oportunamente y la comprensión de su impacto potencial. Hacer esto demanda que los incidentes sean analizados para entender los métodos y objetivos comprometidos, y que los datos de eventos sean recolectados y correlacionados a través de toda la empresa. También será necesario llevar a cabo análisis de vulnerabilidades y supervisar continuamente la actividad de red de los usuarios.

Una vez desplegadas y afinadas, las empresas deben integrar estas tecnologías en una plataforma de inteligencia de amenazas más amplia que tome en cuenta los indicadores de riesgo no técnicos a partir de otras funciones de la empresa, tales como recursos humanos, ética y seguridad corporativa. La gestión y el seguimiento de estas tecnologías y los mecanismos de inteligencia y correlación serán una disciplina que puede requerir un equipo dedicado y altamente cualificado. También puede ser necesario actualizar y perfeccionar ciertas políticas, incluyendo las siguientes: • Recordar a los empleados periódicamente que sus actividades en la red son monitoreadas electrónicamente, y obtener reconocimiento y consentimiento firmado de esta política por parte de los empleados. • Controlar el uso de dispositivos USB (por ejemplo, discos duros externos, memorias USB, cifrado, serializado, etc.).

• Controlar los puertos USB en las computadoras. • Controlar el acceso y la transferencia de datos de bases de datos. • Implementar controles con respecto a la eliminación de las copias impresas de documentos sensibles en las instalaciones de la empresa. • Controlar y monitorear el acceso a Internet de los usuarios que tienen acceso a los datos de alto valor y la capacidad de transferir fondos de manera electrónicos. Las organizaciones que implementan y aplican políticas robustas, y que forman a los empleados acerca de estas políticas, pueden crear un ambiente en el cual los trabajadores son menos propensos a cometer delitos cibernéticos.

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos Construyendo un programa contra los “Insiders” (cont.) Responder

La monitorización continua de los datos de alto valor, sistemas y actividades en toda la empresa requerirá de un equipo dedicado a examinar y correlacionar toda la actividad de los usuarios con acceso privilegiado. El monitoreo y la correlación se debe realizar en conjunto con el análisis continuo de los indicadores de riesgo proporcionados por Seguridad Corporativa, Ética y Recursos Humanos. Para algunas organizaciones, puede ser necesario evaluar los usuarios basados en su nivel de acceso a la información sensible o su papel específico dentro de la organización. El monitoreo permanente, investigaciones regulares, y la re-certificación de los privilegios de acceso también deben ser considerados para estos usuarios. Recuerde que muchos actores se vuelven maliciosos después de que se les concede el acceso autorizado.

La contención y mitigación de los incidentes internos dependerán de un plan de respuesta que haya sido probado con anterioridad. Este plan debe ser ejecutado inmediatamente después de la detección, y los líderes deben comunicar a los empleados de sus roles en las actividades de respuesta. Los incidentes deben ser clasificados de acuerdo a los planes de respuesta, y las alertas de los sistemas de detección deben ser analizadas. De este modo, las organizaciones pueden encontrar nuevas vulnerabilidades internas que deben ser documentadas como riesgos. Como parte de la fase de respuesta, un plan de intervención cuidadosamente considerado y una metodología para hacer frente a las amenazas de presuntos “insider” deben ser incorporados. Los indicadores de riesgo no siempre producirán «señales de humo», y un enfoque de “mano dura” puede, potencialmente, crear riesgos donde no existían previamente. Se puede, por ejemplo, dar lugar a acusaciones infundadas, preguntas indiscretas,

y otras acciones que erosionan la moral o aíslan a los empleados. Esto puede ser tanto o más perjudicial que las amenazas internas.

No. 6 - 2015 Contenido

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos Construyendo un programa contra los “Insiders” (cont.) Detectar

Como parte de la recuperación, un programa de gestión de amenazas internas debe estar estrechamente vinculado a los procesos de planificación de continuidad de negocio de una empresa para ayudar a mantener la capacidad de recuperación. El Marco NIST y otros enfoques de gestión de riesgos destacan la importancia de compartir información, comentarios, y las lecciones aprendidas para mejorar la planificación y la comunicación en las cinco fases. Las lecciones aprendidas deben ser incorporadas en la guía de respuesta a incidentes existente. Estos cambios, junto con las actividades de recuperación, deben ser comunicados a los empleados para que entiendan cómo la empresa responde a incidentes internos y que estas amenazas son tomadas muy en serio.

Las organizaciones también deben incluir la presentación de informes de incidentes a los organismos reguladores o entidades de orden público que lo ameriten dentro sus planes de recuperación. Eso es un proceso que muchas empresas no llevan a cabo. Los resultados de nuestra Encuesta Global de Delitos Económicos revelan que sólo el 22% de las organizaciones que habían detectado algún delito perpetrado por un “insider” notificó a las autoridades reguladoras pertinentes. Como consecuencia de esta situación, los empleados poco éticos que escapan de sus actos criminales sin ramificaciones legales pueden cometer crímenes similares en su próximo trabajo.

Cerrar

Imprimir

Página anterior

Página siguiente

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Boletín de Servicios de Asesoría en Riesgos

Ciberseguridad: Gestionando los riesgos de ataques internos Un componente integral de su práctica de gestión de riesgos Un programa de gestión de amenazas internas bien diseñado e implementado con eficacia no eliminará los riesgos internos, pero puede ayudar a reducir la probabilidad de compromiso y mitigar el daño de los incidentes. Cada día se vuelve más crítico contar con este tipo de programas, ya que los crímenes internos suelen ser más costosos para la organización que las hazañas de los hackers y delincuentes organizados, debido a que los actores de amenazas internas saben dónde reside la información valiosa y la forma de acceder a ella.

Para ser realmente eficaces, los altos ejecutivos y la Junta Directiva deberían apoyar y participar activamente en el programa de gestión de amenazas internas. El apoyo de arriba hacia abajo también puede ayudar a mejorar el cumplimiento normativo y garantizar que se cumplan las salvaguardias adecuadas para mitigar las acciones legales que puedan derivarse de un incumplimiento interno.

Dado el amenazador ambiente de hoy en día, ya no es posible garantizar la protección de todos los datos de la organización al más alto nivel. Pero la implementación de un programa de manejo de amenazas internas bien diseñado y fusionado con las prácticas de seguridad existentes puede ayudar a las organizaciones a detectar y responder con mayor eficacia a los riesgos internos, una capacidad que es parte integral de una práctica de Ciberseguridad efectiva.

Preguntas clave que deben hacerse ¿Quién está cargo de la gestión de las amenazas internas?

¿Qué tan profunda es nuestra política de respuesta a incidentes?

¿Cual es el impacto de los incidentes internos?

¿Qué están haciendo otras empresas para gestionar y mitigar las amenazas internas?

¿Quiénes están involucrados en el manejo de las amenazas internas?

¿Deberíamos revelar la existencia de un programa de gestión de amenazas internas?

¿Cómo controlamos a terceras partes para el cumplimiento de nuestras práctcas de seguridad?

¿Cómo vigilar la actitud maliciosa por parte de nuestros empleados?

No. 6 - 2015 Contenido

Cerrar

Imprimir

Página anterior

Página siguiente

Créditos Contactos de este boletín: Edwin A. Orrico Martínez [email protected] +58 (212) 700 61 51 @3d0rr

Roberto Sánchez V. [email protected] +58 (212) 700 62 22 @robersv

Para suscribirse al Boletín Consultoría

Síganos en

@PwC_Venezuela

pwcVenezuela

pwc-Venezuela

pwcvenezuela

Editado por Espiñeira, Pacheco y Asociados Teléfono master: (58-212) 700 6666 Esta publicación ha sido elaborada para una orientación general sobre asuntos de interés solamente, y no constituye asesoramiento profesional. Usted no debe actuar sobre la información contenida en esta publicación sin obtener asesoramiento profesional específico. Ninguna representación o garantía (expresa o implícita) se da en cuanto a la exactitud o integridad de la información contenida en esta publicación, y, en la medida permitida por la ley, Espiñeira, Pacheco y Asociados (PricewaterhouseCoopers), sus miembros, empleados y agentes no aceptan ni asumen ninguna obligación, responsabilidad o deber de cuidado de las consecuencias de que usted o cualquier otra persona actuando o absteniéndose de actuar, basándose en la información contenida en esta publicación o por cualquier otra decisión basada en ella. ©2015 Espiñeira, Pacheco y Asociados (PricewaterhouseCoopers). Todos los derechos reservados. “PwC“ se refiere a la firma venezolana Espiñeira Pacheco y Asociados (PricewaterhouseCoopers), o según el contexto, a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. RIF: J-00029977-3.

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.