No se puede tener transformación digital sin las variables de ciberseguridad y privacidad

 

Por Alexander García, director de Consultoría de Negocios de PwC Perú.

En un mundo interconectado, los negocios buscan acercarse cada vez más mediante herramientas, canales, procesos y servicios digitales a los consumidores, proveedores, socios estratégicos, entre otros. Sin embargo, es importante acompañar estas iniciativas con una estrategia de ciberseguridad y privacidad antes, durante y después de su implementación. Los daños por ataques cibernéticos pueden ser de distinta naturaleza dependiendo del impacto del ataque; pueden ir desde la interrupción de las operaciones que dependan intensivamente de recursos tecnológicos hasta pérdidas económicas o daños reputacionales.

En el caso de los ataques más conocidos, como WannaCry y Petya, las empresas afectadas fueron víctimas de un ataque de ransomware, un chantaje cibernético por medio del cual los hackers –valiéndose de las fallas de seguridad de las organizaciones– ingresan a la red de las compañías y a través de un malware denominado ransomware, encriptan la información y piden un rescate en bitcoins (criptomoneda) para permitir nuevamente acceso a tal información. Solamente en el ataque WannaCry, alrededor de 200,000 estaciones de trabajo (servidores y computadoras) en 150 países fueron afectadas.

Cualquier compañía, por más grande o pequeña que sea, puede sufrir un ataque informático. Lo que deben tener claro las organizaciones es cómo contener, responder y recuperar sus operaciones después del incidente

En el ámbito local, cada vez hay más interés de los accionistas y la alta gerencia por entender mejor sus riesgos cibernéticos para poder definir las medidas correctivas necesarias. En compañías de los sectores más regulados, tales como los bancos y empresas de seguros, ya se están implementando acciones que permitan contener estos ataques, como, por ejemplo, creando equipos internos de ciberseguridad o Security Operation Centers (SOC por sus iniciales en inglés). Por el lado de las empresas medianas y pequeñas, se está optando por estrategias de tercerización de la función de ciberseguridad debido a los costos que implica para estas organizaciones contar con equipos dedicados in house.

 

Elementos para un plan de ciberseguridad

Lo primero que una compañía debe considerar en un plan de ciberseguridad es identificar claramente dónde están sus activos digitales más importantes, aquellos que de ser afectados puedan interrumpir la operación o causar daños reputacionales o económicos. Una vez identificados los principales activos, se debe evaluar cuáles son las posibles amenazas que pueden impactar negativamente en esos activos tecnológicos para luego implementar los controles de seguridad y privacidad que impidan que esas amenazas se materialicen. A la par, todo plan de ciberseguridad debe contar no solo con una estrategia de contención, sino también con otra de recuperación (que identifique las acciones necesarias para volver a operar). Finalmente, los accionistas y alta gerencia deben interiorizar que no hay sistema de ciberseguridad perfecto y que la probabilidad de ser atacados cada día que pase es más alta en comparación con años anteriores. Cualquier compañía, por más grande o pequeña que sea, puede sufrir un ataque informático. Lo que deben tener claro las organizaciones es cómo contener, responder y recuperar sus operaciones después del incidente.

 

El factor humano

El personal juega una pieza clave en el engranaje de ciberseguridad. Se piensa que cuando un atacante informático vulnera una red lo que busca es acceder al servidor con la información más crítica: la cuenta de correo del CEO o del administrador de seguridad, cuando eso es en lo que menos piensa. Lo que suele suceder es que el atacante busca al eslabón más débil de la cadena, que puede ser la persona en recepción que registra la entrada de visitantes con una computadora sin muchas aplicaciones pero con acceso a correo e internet, el asistente contable, el encargado de almacén, etc. Por ello, prevenir ataques implica sensibilizar a los usuarios, a lo que se debe sumar la evaluación del nivel de cultura en seguridad de la información del personal. Muchas veces vemos que las empresas capacitan a los empleados pero no evalúan realmente si han interiorizado el tema de ciberseguridad y privacidad.

 

 

Deja un comentario

Volver arriba