El nuevo
aporte del Equipo de la Fábrica de Pensamiento del IIA España, es invaluable,
debido que esta nueva guía llega repleta de ejemplos, mejores prácticas y
consejos para todos los que nos dedicamos a ejercer la profesión de auditor
interno.
Este documento
te sumerge en técnicas que representan todo un nuevo mundo, tales como:
·
Ingeniería social
·
Fingerprinting
·
Enumeración y escaneo
·
Ataques de días cero (0-Day)
·
Spam y Phishing;
·
Hijacking
·
DoS (Denegación de Servicios)
·
SQL Injection
·
Cross-site scripting (XSS)
·
Virus, malware, gusanos y troyanos
·
Botnet (Redes zombis)
Es importante
señalar el incremento en el número de ataques directos a personas (empleados, clientes,
simples usuarios de Internet), puesto que representan el eslabón más débil de
la cadena de seguridad. La popularización y extendido uso de Internet en casi
todos los ámbitos de la sociedad actual (público, profesional, compras,
comunicación, noticias, viajes, cultura,…) ha incrementado notablemente la
superficie de ataque disponible para los cibercriminales; y debido a su alta efectividad
y la falta de medidas de protección adecuadas que en muchas ocasiones presentan
los dispositivos (smartphones, tablets, ordenadores personales,…) son cada vez
más habituales este tipo de ataques, habiendo crecido su impacto de manera
exponencial durante los últimos años.
Se puede
afirmar incluso que el cibercrimen se ha profesionalizado, contando actualmente
los atacantes con elevados conocimientos y recursos, tanto humanos como
técnicos y financieros. Se trata, por tanto, de grupos bien organizados y
preparados. Hasta tal punto es así, que también el cibercrimen se ha convertido
en un negocio (Cybercrime as a Service), siendo posible actualmente contratar a
través de Internet (principalmente en la Deep-web / Dark-Web11) la realización
de un ataque de DoS, spam, phishing, el alquiler de una botnet o los servicios de
un hacker.
Este nuevo
entorno de evolución, sofisticación e incremento de los ataques y amenazas está
produciendo un cambio relevante en la manera de gestionar la seguridad en las
organizaciones. El
concepto de riesgo cibernético proviene de la amenaza continua y a escala
industrial sobre los activos digitales, las operaciones y la información
corporativa, por parte de terceros. Para entender mejor el contexto actual, es
necesario conocer los principales riesgos a los que se exponen las organizaciones:
FRAUDE DINERARIO
El robo económico representa una de las principales
motivaciones de la gran mayoría de atacantes. Debido a ello, las instituciones y
entidades financieras son uno de los principales objetivos de los
ciberdelincuentes.
ROBO DE INFORMACIÓN
La
filtración pública o pérdida de la información confidencial representa un
elevado riesgo para cualquier organización, cuyos impactos o pérdidas pueden
resultar especialmente significativos. Debido a ello, la información de
carácter personal o documentos clasificados son algunos de los principales activos
de información que deben ser especialmente protegidos.
INDISPONIBILIDAD DE SERVICIOS
Interrupción
puntual o prolongada de los servicios online ofrecidos por una organización (correos,
pagos financieros, cobro de impuestos, registros públicos).
SABOTAJE DE INFRAESTRUCTURAS
Ataques
contra los servicios o infraestructuras críticas de un país o estado
(abastecimientos, comunicaciones, etc.) con el objetivo de provocar una interrupción
puntual o prolongada de los mismos.
PÉRDIDA DE REPUTACIÓN
Más
que un riesgo en sí mismo, es una de las principales consecuencias de los
ataques y el objetivo de gran parte de los ciberataques, cuyos efectos en una
organización pueden resultar altamente significativos.
Si deseas
descargar la Guía completa de Ciberseguridad lo puedes hacer haciendo un clic aquí.
¿Te ha gustado la información? ¡Compártela con otro auditor
interno!
No hay comentarios:
Publicar un comentario