De acuerdo con el Foro Económico Mundial, el costo estimado de los daños causados por hackers, malware y vulneraciones podría alcanzar $6 billones de dólares a nivel mundial para 2021. Los datos y sistemas de empresas, dependencias gubernamentales y usuarios son vulnerables, dependencias gubernamentales y usuarios son vulnerables, y la mejor alternativa para protegerlos es prepararse de antemano.
Esto no solo implica comprar e instalar toda la tecnología de seguridad disponible, sino evaluar las vulnerabilidades presentes, gestionar el riesgo, delimitar acciones en el tiempo, tener una política de respuesta a incidentes, y un largo etcétera.
Macrina Pérez Bermúdez, gerente de Seguridad IT en Grupo Nacional Provincial, destacó la importancia de contar con tecnologías de vanguardia, “pero hay que asegurarse de mantenerlas actualizadas y sobre todo, bien configuradas”. Entre los diversos aspectos que debe cuidar el responsable de la seguridad IT en cualquier tipo de organización, algo que debe incluirse sí o sí en el plan de ciberseguridad, de acuerdo con Pérez, es el cumplimiento regulatorio. Este abarca auto revisiones, auditorías formales y cumplimiento externo. Otro tema importante es la creación de conciencia y cultura de seguridad en las organizaciones, ya que una gran parte de los ataques IT se originan en fallas humanas, cuando se abre un archivo o un correo que no se debía.
Acciones fundamentales
Es necesario que la compañía cuente con protocolos de prevención y acciones a seguir ante una vulneración. Pablo Corona, director general de NYCE Sociedad Internacional de Gestión y Evaluación S. C., opina que la ciberseguridad debe ser considerada como un objetivo estratégico de negocio, no como uno secundario.
“En ciberseguridad no estamos protegiendo solamente los sistemas de cómputo, las IT, cuidamos un conjunto de sistemas, personas, procesos organizacionales que dependen de la tecnología. En muchos casos protegemos infraestructuras críticas, la vida de las personas, las cadenas de suministro, más que la red de comunicaciones”, afirmó el directivo.
Por el impacto que puede tener, Corona señaló que es necesario hacer evaluaciones de riesgos, del impacto al negocio, a la sociedad y las afectaciones que puede tener un evento de ciberseguridad en la organización.
En la evaluación de riesgos (un tema del que Corona escribió un libro), el ejecutivo considera que hay que tener en cuenta el entorno completo de la organización: los proveedores, los clientes, si hay outsourcing, el edificio donde están las oficinas, la empresa de seguridad, de limpieza, etc, para prevenir impactos.
Corona dice que el objetivo del análisis de riesgos debe ser identificar acciones a tomar. Esto puede mostrar la ruta de algunas medidas, dónde implementar controles de seguridad, establecer políticas, reglas, sanciones, y elementos de monitoreo. O sea: los ingredientes administrativos, tecnológicos, físicos, y organizacionales que lleven a implementar controles de seguridad específicos.
Administración de identidades
Uno de los factores más relevantes tiene que ver con la administración de credenciales y comprobación de identidades. De acuerdo con Gabriel Sanders, gerente regional de Ventas de BeyondTrust, el 81% de las vulnerabilidades críticas descubiertas estaban ligadas a tener un administrador local, Una gestión de identidades adecuada podría prevenir ataques de todo tipo.
Sanders dijo que cuando se tiene un adecuado manejo de contraseñas y de privilegios, se reducen los riesgos por medio de la identificación, almacenamiento seguro y gestión central de todas las credenciales que permiten acceso a la información. “De esta manera se facilita la autenticación segura de los usuarios, aplicaciones y recursos cuando se realizan procesos especiales”.
En este punto, Corona afirmó que debería contarse con diferentes tipos de controles, tanto preventivos como correctivos: “Hay que hacer controles de detección, monitoreo y hasta de remediación para que una vez que haya sucedido algo, se recupere la operación y se restaure parte de la infraestructura e información. En este entorno, los planes son muy importantes, pero más lo es ponerlos a prueba”.
El ejecutivo indicó que una buena guía son las distintas normas y marcos de ciberseguridad existentes que abordan diferentes etapas de un plan estratégico.
