16 de Octubre de 2020
El surgimiento de la pandemia, causada por el Covid-19, ha propuesto una serie de grandes retos y desafíos al mundo empresarial. Muchos de estos han sido en el área de la ciberseguridad, pues el auge del Internet y el masivo tráfico empresarial hacia el espacio digital ha incentivado los delitos digitales y los fraudes electrónicos.
Ante este escenario, ¿qué deben hacer las empresas? ¿Cuál es el papel que debe jugar la ciberseguridad dentro de las organizaciones y especialmente en esta época de pandemia? Conscientes de la importancia de este tema, EAE On Session ha transmitido recientemente un evento denominado “Retos en seguridad informática para prevenir el fraude” en el que 5 expertos de la materia abordaron todo lo que se debe saber al respecto.
La conversación estuvo dirigida por la especialista en ciberinvestigacion, Selva Orejón, y contó con la participación de Franz Erni, Country Manager de Fortinet Perú; Martín Pablo Fuentes, Security Business Senior Manager de Centurylink; Andrés Galindo, Chief Business Development Officer de Digiware; y Christian Cuenca, Information Security Officer de Kushki Pagos en Ecuador.
¿Preparado para aprender sobre ciberseguridad y ransomwares?
Selva Orejon:
¿Cuál es el papel que juega la ciberseguridad en toda esta pandemia?
Franz Erni:
Este es un tema vital porque tenemos que evaluar cómo han estado trabajando nuestras compañías y por ende, cómo ha cambiado la superficie de ataque. Denominemos la superficie de ataque como todo lo que puede ser un blanco de ataque relevante de cara a la continuidad de las operaciones en el negocio. Cambió muchísimo la forma en que interactuamos, el lugar donde está la data. Antes estábamos en la oficina y era más seguro el perímetro. Ahora no. Todo es distinto.
Martín Fuentes:
Creo que la pandemia fue un gap analysis forzado de las estrategias de ciberseguridad de las organizaciones. Ante esta situación es donde las empresas ven si las estrategias de ciberseguridad eran lo suficientemente robustas para seguir operando. Hubo empresas que tuvieron que correr para tomar medidas, por lo tanto, no todas estaban, ni están preparadas para cubrir la ciberseguridad. Muchas no le daban la relevancia que se merecía.
Andrés Galindo:
El rol de la ciberseguridad se vuelve algo estratégico y en nuestras latitudes, a pesar de ser tan relevante y a pesar de tener que ser un habilitador de la transformación digital, la ciberseguridad se tomó como un elemento secundario que muchas empresas decidieron parar, cuando en realidad tuvo que haber sido uno de los principales pilares de inversión en ese momento. ¿Qué sucedió debido a eso? Más de 22 casos de alto impacto de ransomware en empresas grandes en América Latina.
La ciberseguridad tiene un deber y esta es la oportunidad para que realmente nos volvamos estratégicos. Los expertos debemos enfocarnos en ganarnos ese espacio que se merece.
Selva Orejón:
Andrés, Se ha podido cambiar esa perspectiva de la ciberseguridad como sólo tecnología para pasar a formar parte de una estrategia?
Andrés Galindo:
Tengo que ser muy sincero y más desde el enfoque latino: preferimos mostrar que estamos bien, a pesar de que tengamos una pandemia dentro de la compañía. Sumado a eso, no tenemos una regulación que nos obligue a exponer ataque por ataque lo que está pasando. Siento que nos falta mucho en cultura para afrontar esta situación y aceptar lo que está pasando.
Selva Orejón:
Christian, ¿cómo está esta realidad en Ecuador?
Christian Cuenca:
En América Latina estamos casi todos igual, pero hay que rescatar que la ciberseguridad tiene que ser proporcional al tamaño y procesos y estrategias de la empresa. Si la empresa crece, la ciberseguridad tiene que adaptarse. Igual con las herramientas: no podemos quedarnos con las mismas de hace años, pues las amenazas van evolucionando.
Selva Orejón:
¿Cuáles han sido los incidentes y delitos más comunes durante el Covid-19?
Christian Cuenca:
Hay muchos delitos y algunos de ellos son:
Cada uno de estos se aprovecha de una vulnerabilidad que tiene la empresa. Pueden utilizar virus, campañas de fishing… Ahora bien, ¿cómo se pueden detener?
Selva Orejón:
Franz, ¿cómo os lo planteáis vosotros desde Fortinet?
Franz Erni:
Hay un punto importante y es que tenemos la cultura de la reacción. Es decir, ocurre el incidente y tomo las medidas y encima de eso, termino comprando a base de necesidad y no de estrategia. Entonces es muy importante, sin importar el tamaño de la empresa, realizar un plan.
Hay muchos tipos de ataques, el más famoso, sobre todo por las noticias, es el ransomware, pero hay un denominador común que es el lado del cliente. Entonces, debemos replantear la estrategia hacia el cliente, hacia el usuario final y por eso hay que crearles conciencia y enseñarles que tienen responsabilidad al hacer cada click.
Selva Orejón:
¿Por qué se están repitiendo delitos que siguen siendo muy eficaces a pesar de los avances y la concienciación?
Franz Erni:
Yo creo que lo que está faltando es una cultura de ciberseguridad en las compañías y no sólo por parte de los usuarios finales, sino también por parte de los miembros de la ciberseguridad. Entonces hay que ver casos que han sucedido y no ignorarlos, sino tomarlos para adaptar nuestros planes.
Martín, ¿coincides en que hace falta crear conciencia sobre este tema?
Martín Fuentes:
Totalmente. La falsa sensación de seguridad es la que provoca que no se tomen las acciones tanto de concientización como de ejecución técnica para proteger a la organización. Lo que se viene viendo es que las compañías consideran la ciberseguridad como algo que es paralelo a IT, es decir: pongo un servidor y un firewire. Y creen que con eso ya está. No se entiende que la seguridad como tal debe estar en el ADN de la organización. Todas las personas, áreas y personas deben formar parte, de alguna manera, de la estrategia de ciberseguridad.
No sólo debemos estar preparados para reaccionar ante cualquier escenario evaluado en nuestro plan de seguridad, sino que tenemos que estar preparados para responder al peor de los escenarios.
Andrés Galindo:
La superficie de ataque se multiplicó. Eso es un hecho. No tenías cloud y ahora tienes cloud, pero, ¿lo sabes administrar?, ¿sabes qué es cloud en seguridad? Lo mismo pasa con el machine learning: ¿estamos protegiendo los machine learning? Pero mucha gente pone las métricas más importantes de todo el negocio allí y... ¿No lo protege?
Las vulnerabilidades severas se multiplicaron en prácticamente 3 años. De esas, más del 15% no tienen forma de ser cubiertas y por el otro lado, algo que es muy importante, es el tiempo que se han venido tomado los atacantes para aprovechar esas vulnerabilidades: pasaron de ejecutar un delito en 55 días a 2 días. Entonces se triplicaron los riesgos.
Reflexión: ¿Nosotros como expertos les estamos recomendando a las empresas lo adecuado? Tenemos que pensar en las soluciones que estamos proponiendo y vendiendo.
Creo en la optimización. Hay que utilizar todo lo que tengamos a nuestra disposición para aplicar la innovación.
Selva Orejón:
De lo que se ha conversado, me quedo con lo complicado que es hacer el balance entre la necesidad de desarrollo de negocio, por un lado, y el control del riesgo, por otro lado. Hay algo que nos sirve mucho y es cuando se calcula cuál ha sido el lucro cesante y cuál ha sido el coste emergente después del incidente. Cuando esto lo bajas a una cantidad económica, la cosa cambia.
Por otro lado, a nivel internacional, los cuerpos de seguridad del estado y las agencias de inteligencia tienen un problema muy serio para la persecusión final del origen de un ataque. Entonces, cuando no se puede ejercer una presión legal suficiente, se genera una situación de desidia por parte de los cuerpos de seguridad del estado.
Christian Cuenca:
Una recomendación sobre la capacitación y la fomentación de la ciberseguridad: mostrar en las capacitaciones cómo están los ataques afectando a la industria, a mi organización, para que el usuario final entienda que es real, que pasa todos los días, que podemos estar bajo ataque todo el tiempo. Así entenderá que tenemos que cuidarnos.
Ante un mundo cada vez más digital, la ciberseguridad se ha convertido en una necesidad imprescindible y como han comentado los expertos, no se trata únicamente de una cuestión tecnológica, sino que además debe formar parte de la cultura empresarial. De esa manera, tanto los empleados como los directivos y los clientes, estarán capacitados para fortalecer la seguridad y evitar que los delincuentes cibernéticos se aprovechen de las vulnerabilidades de la empresa.
Y tú, ¿tienes cuidado con cada clic que haces?