Los Skyhooks eran un grupo famoso en Australia que tuvo un éxito en los años 70, "Ego is not a dirty word".

Aunque no está relacionado en absoluto con la auditoría informática, el estigma negativo es trasladable del ego a las auditorías.
Hay varias razones por las que las organizaciones pueden temer una auditoría. Sin embargo, todas comparten una causa común, el miedo a lo desconocido.
¿Qué he pasado por alto? ¿He hecho esto bien? ¿Qué pasaría si esto ocurriera?
Sin embargo, las organizaciones proactivas no temen las auditorías, sino que utilizan el proceso para añadir valor a sus organizaciones. Este cambio de enfoque es lo que les ayuda a sobresalir continuamente; prevenir es siempre mejor que curar.

¿Confía en los procesos manuales para atender las solicitudes de los auditores?

Si su respuesta es afirmativa, ya está en la cuerda floja, la mayoría de los requisitos de auditoría más comunes pueden programarse y realizarse automáticamente. Esta automatización del proceso se configura fácilmente, mientras que el coste del software es menor que las horas de personal que se habrían necesitado para la misma tarea. La generación automática de informes que tengan en cuenta la gestión de cambios o la seguridad de los accesos es sencilla gracias a software como Open-AudIT y opConfig.

La evolución de la tecnología ha obligado a las organizaciones a cumplir con las auditorías técnicas, incluso si no se identifican como empresas de alta tecnología. Es fundamental para el negocio que estos procesos sean correctos; cualquier violación de datos reciente puede ser fácilmente recordada, nadie recuerda a una empresa que ejecute una auditoría con éxito. El éxito de las auditorías se produce cuando se conocen los procedimientos y las operaciones informáticas internas de la red.

El Internet de las Cosas (IoT) ya está revolucionando la forma en que las industrias clave hacen negocios, y los beneficios sólo van a aumentar en las próximas décadas a medida que se adopten más tecnologías de IoT. Según La oportunidad del IoT en Australia: Impulsando el crecimiento futuro - Un informe de ACSen lo que respecta a los sectores de la construcción, la minería, la sanidad, la industria manufacturera y la agricultura, que representan el 25% del PIB de Australia, las tecnologías de la IO tienen el potencial de lograr unos beneficios anuales de 194.000 a 308.000 millones de dólares australianos en un periodo de 8 a 18 años. Esto supone una mejora media de la productividad del 2% anual.

Veamos con más detalle cómo el IoT está llamado a revolucionar estos sectores clave de Australia.

Construcción

El sector de la construcción se beneficiará de hasta 96.000 millones de dólares en las próximas décadas gracias al aumento de la productividad resultante del IoT. Tecnologías como el modelado de información para la construcción (BIM), los sensores, la automatización y la impresión en 3D están llamadas a tener una mayor presencia en las obras del futuro.

Fabricación

Los beneficios previstos para la industria manufacturera australiana en las próximas décadas ascienden a 88.000 millones de dólares, a pesar de que el sector ya es el más avanzado en cuanto a la adopción del IoT. Las fábricas del futuro podrán estar controladas a distancia e incluso conectadas, lo que permitirá gestionar la cadena de suministro en tiempo real. También habrá una mayor adopción de la tecnología de sensores para la supervisión y el mantenimiento.

Sanidad

El sector sanitario podría obtener beneficios de hasta 68.000 millones de dólares en las próximas décadas al aprovechar la tecnología del IoT. Los "hospitales inteligentes" son el futuro, donde el servicio es más personalizado y se emplean tecnologías como la impresión 3D, la robótica, la nanotecnología y la codificación genética. Además, el uso de tecnologías vestibles por parte de los pacientes reducirá el número de visitas a su médico de cabecera y permitirá el acceso remoto a datos en tiempo real.

Minería

La industria minera podría obtener beneficios de hasta 34.000 millones de dólares en las próximas décadas al adoptar la tecnología IoT. Los sensores que proporcionan visualizaciones de datos y colaboración en tiempo real, así como el uso de vehículos autónomos, aumentarán la productividad del sector, y ya son empleados por los líderes de la industria.

Agricultura, silvicultura y pesca

Las "granjas inteligentes" van a ofrecer a los agricultores mayores rendimientos y menores costes, con unos beneficios anuales previstos de hasta 22.000 millones de dólares. El aumento de la productividad será el resultado de tecnologías como los vehículos autónomos, los sensores para los cultivos, el seguimiento del ganado, la automatización y los drones.

Se prevé que los cinco sectores analizados obtengan importantes beneficios de la IO. Sin embargo, no representan los límites del alcance de las tecnologías de la IO. Aunque en su esencia la IO es un simple dispositivo conectado, el impacto más amplio de las tecnologías de la IO es un bien económico y social, por lo que no solo se producen mejoras en las capacidades y la productividad, sino que, de forma más amplia, se mejoran la vida cotidiana y el planeta.

La ciberseguridad se ha convertido en una prioridad clave para los líderes empresariales hoy en día.

El número de ciberamenazas y estafas es cada vez mayor; las propias amenazas y estafas son cada vez más sofisticadas; y las consecuencias de una violación de la seguridad son más perjudiciales. Entonces, ¿cómo pueden las empresas mantenerse ciberseguras? En las próximas semanas describiremos algunas medidas clave que su empresa puede adoptar para proteger sus sistemas, su información y su personal.

Las personas pueden ser su eslabón más débil o su mayor activo cuando se trata de ciberseguridad. Los individuos malintencionados han desarrollado amenazas o estafas de ingeniería social que engañan a las personas para que hagan clic en enlaces peligrosos, abran archivos adjuntos sospechosos o incluso envíen inadvertidamente dinero a estafadores que se hacen pasar por su director general. Entonces, ¿qué medidas puede tomar para mitigar estas amenazas?

• Eduque a sus empleados. Implemente y actualice periódicamente programas educativos que enseñen a sus empleados a reconocer las amenazas y las estafas. Extienda estos programas a las familias de los empleados y a los socios y clientes cuando sea posible. Estos programas deben enseñar a los empleados que la ciberseguridad es responsabilidad de todos, no sólo del departamento de TI o del equipo directivo.
• Aplicar políticas rigurosas de ciberseguridad. Las empresas deben complementar los programas de formación con políticas que regulen cuestiones como el manejo de la información o de los dispositivos (incluyendo cuestiones diversas como el uso de unidades USB; el uso de ordenadores portátiles propiedad de la empresa en redes públicas no seguras; y el cierre del acceso de los empleados que se marchan a los sistemas y datos). Las políticas también deben cubrir los pasos que los empleados deben dar -incluyendo a quién deben informar- en caso de un incidente como el abandono de un portátil con información sensible en la parte trasera de un taxi.
• Incorpore la ciberseguridad a la cultura de su empresa. Esto puede lograrse a través de los líderes de la empresa que modelan y abogan por la concienciación sobre la seguridad; incorporando la seguridad en las declaraciones de la visión y la misión de la empresa; promoviendo la seguridad en los procesos de contratación e incorporación; y recompensando los comportamientos positivos en materia de seguridad.

Adoptar estas medidas puede desempeñar un papel fundamental en la creación de una postura de riesgo de seguridad potente en su empresa. Llame a Simon o a uno de nuestros expertos hoy mismo al +61 2 9409 7000 para obtener más información sobre la cibereducación.

El nuevo sistema de notificación de violaciones de datos de Australia lleva varios meses en funcionamiento. El plan exige a las empresas -así como a los organismos públicos y a las organizaciones sin ánimo de lucro- que manejan información personal y facturan más de 3 millones de dólares al año que notifiquen a las personas afectadas por violaciones graves de datos.

También deben informar a la Oficina del Comisionado de Información de Australia (OAIC). El incumplimiento de sus obligaciones puede costar a las empresas hasta 2,1 millones de dólares en multas.

El informe estadístico trimestral sobre las violaciones de datos notificables de abril a junio de 2018 reveló que las organizaciones habían notificado al OAIC 242 violaciones, de las cuales el 59% se debieron a ataques maliciosos o delictivos. Otro 36% se debió a un error humano, mientras que solo el 5% fue causado por fallas del sistema. Mientras que el 89% de las violaciones de datos comprometían la información de contacto, un preocupante 42% afectaba a datos financieros, el 39% a información de identidad y el 25% a datos sanitarios.

El error humano más común fue el envío de un correo electrónico a la persona equivocada, seguido de la divulgación o publicación involuntaria de información personal. Sin embargo, el OAIC observó que las violaciones de datos relacionadas con la pérdida de dispositivos de almacenamiento afectaron al mayor número de personas, con una media de 1.199 personas afectadas por violación.

El Centro Australiano de Ciberseguridad (ACSC) descubrió que al menos el 77% de los incidentes cibernéticos del trimestre se produjeron por el robo de credenciales, como nombres de usuario y contraseñas.

Puede obtener más información en la OAIC y la ACSC.

Así pues, ¿qué lecciones pueden extraer las pequeñas empresas del lanzamiento del plan y del informe de abril-junio? La clave está en contratar o crear internamente capacidades de seguridad para cumplir los requisitos del plan de notificación de violaciones de datos. La segunda es implantar sistemas, políticas y procesos de seguridad sólidos para minimizar el riesgo de violación de datos.

Es importante destacar que no se trata de un ejercicio de "fijar y olvidar": estos sistemas, políticas y procesos deben actualizarse periódicamente para combatir las nuevas amenazas y garantizar que los trabajadores y los directivos sigan siendo conscientes de sus obligaciones. Hable con Roger y su equipo de expertos hoy mismo en el teléfono +61 2 9409 7000 para saber más sobre la protección de su empresa.

A medida que el mundo digital sigue evolucionando, también lo hacen las ciberamenazas. Los exploits de día cero son cada vez más comunes y graves, y adelantarse a ellos es, como mínimo, un reto.

Pero a pesar de los rápidos cambios en el ámbito cibernético en los últimos años, hay una tecnología probada y verdadera que sigue siendo fundamental para proteger los activos digitales de una organización de los ataques maliciosos: el humilde cortafuegos.

Un cortafuegos es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente basándose en un conjunto de reglas de seguridad predeterminadas. Suele establecer una barrera entre una red interna de confianza y una red externa no fiable, como Internet.

Los cortafuegos tradicionales de primera generación, también conocidos como filtros de paquetes, controlaban el acceso a la red supervisando los paquetes salientes y entrantes y permitiéndoles el paso o la detención en función de las direcciones, protocolos y puertos del Protocolo de Internet (IP) de origen y destino. Los cortafuegos de segunda generación se basaron en sus predecesores de primera generación al intentar aumentar el nivel de seguridad entre las redes de confianza y las que no lo son a través de servicios proxy, una interfaz entre el usuario de la red interna de confianza e Internet.

La última generación de cortafuegos -a menudo denominados cortafuegos de nueva generación (NGFW)- son soluciones de seguridad de red basadas en hardware o software que pueden detectar y bloquear ataques sofisticados más allá de las tecnologías tradicionales de cortafuegos. Realizan inspecciones más profundas, comprobando las cargas útiles de los paquetes y cotejando las firmas en busca de actividades dañinas, como ataques explotables y malware. Los NGFW también ofrecen a los administradores un mayor conocimiento y control de las aplicaciones individuales. La mayoría son modulares, lo que significa que los usuarios pueden optar por adquirir y activar funciones acordes con sus necesidades y riesgos específicos.

Independientemente del tipo de cortafuegos que utilice o considere, tal vez lo más importante que debe sopesar es si el producto cumple con los requisitos de seguridad específicos de su organización, así como si se adapta bien a su entorno de TI. Y recuerde que, mientras las ciberamenazas siguen evolucionando, los cortafuegos siguen siendo un activo integral en su línea de ciberdefensa.

La oferta de servicios NGFW basada en la nube de FirstWave combina el conocimiento de las aplicaciones, la inspección profunda de paquetes y la prevención avanzada de amenazas para ofrecer a las empresas un mejor control de las aplicaciones para sus despliegues en la nube, al tiempo que detecta y bloquea las amenazas maliciosas. También disponible como solución gestionada de alta disponibilidad, esta oferta puede personalizarse para satisfacer las necesidades específicas de las empresas de alto nivel. Más información.

Hable con Neil o con el equipo de FirstWave hoy mismo en el teléfono +61 2 9409 7000 para obtener más información sobre nuestro servicio NGFW basado en la nube.