Ratti

“La ciberseguridad debe ser vista como una oportunidad de mejora continua”

Hoy día, las empresas comprenden la importancia de atender la ciberseguridad en su estrategia y estructura, aunque aún de manera insuficiente. Es una realidad que aún no queda del todo claro de qué manera el descuido de este eje puede repercutir notable (o, a veces, fatalmente) en sus negocios.

“Dependiendo de si la empresa tiene mecanismos de backup adecuados (…) el impacto puede ser incluso el quiebre de la empresa”, expresa Gabriela Ratti, directora general de Ciberseguridad y Protección de la Información en el MITIC (Ministerio Tecnologías de Información y la Comunicación) y especialista en ciberseguridad.

Durante su trayectoria profesional se ha enfocado en áreas de gestión de incidentes cibernéticos, así como de análisis forense, auditorías de vulnerabilidad, y políticas y normativas de ciberseguridad e infraestructura crítica, principalmente en el sector gubernamental. 

En esta entrevista conversamos sobre cómo las empresas deberían entender cuáles son las herramientas y procesos de ciberseguridad adecuados para cada compañía. Ya que, según nos explica, “vemos muchas veces empresas que destinan muchos recursos, tiempo, dinero, etc. a esfuerzos que no son los adecuados, generando una falsa sensación de seguridad, que a veces incluso resulta más peligrosa”.

Actualmente, se escucha mucho de ciberseguridad y es un tema que preocupa a las empresas. Sin embargo, a modo de contexto, ¿brindan la suficiente atención a esta materia?

Si bien cada vez son más las empresas que empiezan a prestar atención a los riesgos de ciberseguridad, todavía es insuficiente. Hay que entender que la ciberseguridad es un concepto transversal, ya que la tecnología y el uso de informaciones es impactan en un negocio.

Eso requiere también un enfoque integral. Es decir, preocuparse y ocuparse por la ciberseguridad en todas las áreas de la organización. En todos los procesos, como una característica intrínseca que debe pasar a formar parte del ADN de la empresa.

También hay que entender que la atención debe estar bien canalizada; vemos muchas veces empresas que destinan muchos recursos, tiempo, dinero, etc. a esfuerzos que no son los adecuados, generando una falsa sensación de seguridad, que a veces incluso resulta más peligrosa.

Entre multinacionales, grandes compañías y PYME, ¿cree que existe el mismo interés y/o preocupación?

Es muy relativo. Existen PYME que han hecho esfuerzos y tomado medidas efectivas desde sus inicios, por ejemplo. Por lo general, una PYME al tener menos recursos (económicos y humanos) tendrá que priorizar mejor los esfuerzos de protección. Muchas veces, ni siquiera tienen una área de TI.

Muchos de los problemas de seguridad derivan de malas prácticas y/o procesos de TI poco robustos. Más que el tamaño de la empresa, lo que debería primar para decidir el nivel de recursos puestos en una estrategia de ciberseguridad es el nivel de riesgo. Una PYME que basa todo su negocio en procesos digitales, debería darle mayor importancia que una empresa que, aun siendo grande, no tiene información ni procesos digitalizados.

También hay que romper con el mito de que solo empresas grandes o multinacionales son de interés de los cibercriminales: dependiendo del objetivo y motivación del atacante, cualquier sistema informático puede servir a un atacante para ser incorporado como parte de su infraestructura delictiva (distribución de malware, alojamiento de phishing, botnets, etc).

No necesariamente debe tener un interés puntual y dirigido contra una empresa específica para comprometerla. Muchas veces son ataques oportunistas pero que igualmente generan un enorme impacto en la empresa afectada.

¿Cuáles riesgos podrían generar un mayor impacto negativo para las empresas que no contemplen los recaudos necesarios?

Hoy en día, los ataques con mayor impacto a los negocios son, en primer lugar, los casos de ransomware. Básicamente, simulan un secuestro virtual de la información. Dependiendo de si la empresa tiene mecanismos de backup adecuados – lo cual muchas veces no es tan simple como tener una copia nomás -, el impacto puede ser incluso el quiebre de la empresa.

Por ejemplo, empresas contables, despachos de abogados, empresas de contenido digital… si estas perdieran de la noche a la mañana todos sus archivos digitales, muy probablemente no puedan recuperarse del impacto.

En segundo lugar, sigue el compromiso de servidores web o de correo. Si bien, muchas veces son ataques oportunistas, puede causar muchos problemas que van desde que nuestros correos caen en spam, interrupción de nuestra web, hasta por supuesto los problemas de imagen o reputación.

¿Existen algunas prácticas empresariales comunes que dejen al descubierto vulnerabilidades de la compañía?

Los problemas de ciberseguridad suelen ser la consecuencia de otras debilidades. Estas van desde la falta de estrategias adecuadas de gestión de las tecnologías (en muchos casos, las empresas nisiquiera tienen un área de TI), falta de visibilidad sobre nuestra infraestructura y activos tecnológicos.

No se puede proteger aquello que no sabemos que tenemos.

También un error frecuente es pensar que para una ciberseguridad robusta necesitamos muchas herramientas y equipos de seguridad. Las soluciones de seguridad, si bien son importantes, no son herramientas mágicas: se necesita invertir en personal técnico capacitado en ciberseguridad.

Las herramientas son operadas por humanos, por profesionales. Las herramientas deben ser implementadas y mantenidas correctamente (y no hablamos del soporte técnico, sino de embeber las herramientas en la organización).

Si no tenemos profesionales capacitados que diseñen, implementen y gestionen una estrategia integral de seguridad, las herramientas no nos servirán. Las herramientas y soluciones de seguridad son simplemente una manera de implementar ciertos controles de la estrategia. No aportarán ningún valor sin un equipo humano profesional.

En la actualidad, ¿existe alguna “tendencia” tanto en brechas de seguridad como de medidas de protección?

Los casos de phishing e ingeniería social son de los más frecuentes. El phishing (del inglés “pescar”), haciendo una analogía con que el criminal busca pesar al incauto, al desprevenido, es una técnica que por lo general se manifiesta a través de mensajes, llamadas o correos falsos, engañosos, con enlaces a páginas falsas, que parecen idénticas a una página confiable (por ejemplo, de nuestro banco).

La víctima, al ingresar a la página y confundirla con la oficial, introduce su contraseña, la cual se le envía al criminal, que con esa contraseña puede ingresar a la cuenta de la persona. Es una técnica muy fácil para el atacante, que ataca al eslabón más débil, que es el usuario final. Es especialmente difícil para las empresas, ya que técnicamente no se compromete ningún sistema de la empresa – se basa en un engaño, simplemente -. Por ende, la solución no está en manos de la empresa.

Para este tipo de ataques, es muy importante que la empresa pueda tener una comunicación clara hacia sus clientes, con campañas de concienciación frecuentes y prácticas comerciales que permitan a un cliente saber claramente cuándo la comunicación oficial y cuándo es un impostor. Por supuesto, son de mucha utilidad las medidas de seguridad que la empresa pueda desarrollar para sus clientes: autenticación de doble factor, notificación de inicios de sesión o actividades sospechosas, monitoreo de transacciones, etc.

Este tipo de medidas deben ser desarrolladas e implementados por parte de la empresa en sus sistemas, para proteger a sus clientes. Tampoco hay que olvidar que el phishing es una técnica que puede ser usado contra los empleados o colaboradores de la empresa para convertirse en un punto de entrada en los sistemas internos. La concienciación de usuarios internos y la protección de accesos a sistemas internos es igual de importante.

¿Pueden darse recomendaciones generales a las empresas, o las medidas de ciberseguridad deberían aplicarse de manera distinta según cada negocio y previa auditoría del mismo?

No existe una estrategia única, ya que cada organización es diferente, tiene niveles de madurez organizacionales y de TI diferentes. Por lo general, es importante que cualquier empresa, por más pequeña que sea, tenga al menos una persona con un rol de encargado de seguridad de la información (CISO). Si bien el conocimiento en materia de tecnología es importante, ciberseguridad no es una cuestión meramente informática, por lo que por lo general es recomendable que sea una persona diferente al encargado de TI.

Un punto de partida interesante son los frameworks o estándares de seguridad, que pueden guiar a la organización en la estrategia.

Si nuestra empresa es una organización con una cultura orientada a procesos, es posible que el enfoque top-down, empezando con normas de gestión generales como ISO 27000 o el NIST Cybersecurity Framework (CSF) pueden ser de mucha utilidad. Para organizaciones más maduras, personalmente recomendaría el NIST CSF. Ahora, si se trata de una organización que no tiene una cultura orientada a procesos, que es algo muy común en nuestro país, es preferible adoptar un enfoque bottom-up (de abajo para arriba, de lo concreto a lo general).

Para ello se puede empezar con frameworks de controles como son los CIS Controls, los cuales son controles más concretos, operativos, relativamente simples, que le brindan a las áreas técnicas una manera más tangible y accionable de empezar. Ojo, estos enfoques se complementan: si empiezo por la ISO 27000 en algún momento debo llegar al nivel operativo de los controles (CIS) y viceversa, si empiezo por lo operativo como CIS, en algún momento se deberá escalar y embeber en políticas y procesos organizacionales (ISO 27000 o similar).

Cabe destacar que CIS Controls (“Controles criticos de ciberseguridad”) es el baseline de controles estándar del Gobierno paraguayo, y al ser un estándar internacional, existe muchísima literatura y herramientas que nos pueden ayudar en su implementación. Sea cual sea el enfoque que adoptemos, es una buena práctica empezar – y repetir, al menos anualmente – un diagnóstico exhaustivo de seguridad, que se conoce también como GAP Analysis.

Existen empresas que brindan este tipo de consultoría, aunque si tenemos el personal capacitado, podemos hacer un autodiagnóstico o incluso una combinación de ambos. Hay que tener en cuenta que una empresa consultora de ciberseguridad puede guiar a nuestra empresa, pero se requiere colaboración y compromiso por parte del cliente. Ya que los datos, los procesos e incluso las decisiones para cualquier cambio efectivo, dependen de la empresa cliente.

¿Algún mensaje final que quiera dejarnos?

La ciberseguridad, más allá de ser vista como una ciencia compleja, negativa, costosa, debe ser vista como una oportunidad de mejora continua. Al abordarla adecuadamente, estaremos necesariamente ordenando muchos procesos internos, optimizando los recursos tecnológicos y, por ende, el trabajo de nuestra empresa será mejor y más seguro.

La ciberseguridad debe ser vista como una propiedad transversal a la manera que trabajamos, y no un agregado extra mediante algún sistema o hardware especial.

La ciberseguridad debe ser parte de nuestra cultura y requiere el compromiso de las altas gerencias para permitir ese cambio cultural en la empresa.

Etiqueta: Sin etiqueta

Comentarios cerrados