Ciberseguridad
¿en alerta?

Elder Cama

Socio de
Consultoría
EY Perú
elder.cama@pe.ey.com

Hace unos meses, más de 300,000 personas en más de 150 países ueron víctimas de uno de los secuestros de información más grandes de la historia (Wannacry). Algunos países resultaron más afectados como Rusia y China, probablemente debido al alto porcentaje de software antiguo. El Perú y Sudamérica no fueron ajenos a este ataque.


Los motivos principales para este tipo de ataques son diversos: hurto de información sensible o confidencial, espionaje industrial, secuestro de data, ciberextorsión, entre otros, pero con un fin común: lograr un beneficio económico (en el caso del Wannacry se exigía un rescate individual

entre US$300 y US$600). Hoy en día ya no se roba dinero; se roba información.


Este ataque ha sido el más grande pero aún se proyectan mayores por venir. No por nada el Foro Económico Mundial (WEF, por sus siglas en inglés) califica el cibercrimen como uno de los cinco riesgos más graves que enfrenta el mundo. La escala de la amenaza se está expandiendo drásticamente. Para el año 2021, el costo global de los ataques cibernéticos alcanzará los US$6 billones según algunas estimaciones: el doble del 2015.

US$6
billones

se proyecta será el costo
global de los ataques
cibernéticos en el 2021,
el doble de lo reportado
en 2015.

Fuente: Cybercrime Report 2017

Identificar debilidades


Más allá de una infraestructura tecnológica de seguridad vulnerable, ya sea por falta de recursos o por una deficiente configuración, un aspecto que se presenta usualmente débil en las organizaciones es la ausencia de awareness sobre seguridad en las diferentes áreas de las organizaciones. Esta falta de conciencia sobre la importancia de la ciberseguridad en las compañías las hace muy vulnerables ya que un buen número de organizaciones aun considera que esto se circunscribe al área de TI, cuando en realidad afecta al negocio en su conjunto. De acuerdo con el estudio “Cybersecurity regained: preparing to face cyber attacks” de EY, los empleados descuidados o desprevenidos son la principal vulnerabilidad de acuerdo con el 60% de ejecutivos que participaron del estudio, seguido de los controles de seguridad de información no actualizados.

Tips

Tomando en cuenta los últimos ataques globales podríamos considerar los siguientes aspectos, más no limitarnos a ellos:

> Asegurarse que las aplicaciones que usamos estén debidamente actualizadas (parches vigentes debidamente aplicados)

> Probar de manera periódica nuestros planes de respuesta ante incidentes (Disaster Recovery Plan, Business Continuity Plan, etc.)

> Confirmar de manera periódica el correcto funcionamiento de nuestros controles de seguridad (backup & restore, gestión de incidentes, etc.)

> Monitorear actividades no autorizadas o maliciosas

> Mantenernos actualizados sobre posibles nuevas amenazas.

La mejor defensa: prevención

En nuestra generación, la información es quizás el bien más valioso y si nos

detenemos un segundo a pensar sobre la cantidad de información personal que se captura y almacena cada día, nos sorprenderíamos de lo expuestos que estamos.


Desde el perfil de Facebook, las compras por Internet, cuentas bancarias, correos electrónicos, formularios para acceder a aplicaciones móviles, sistemas de mensajería instantánea; absolutamente toda la información de nuestra vida personal se encuentra en una vitrina que las empresas utilizan en beneficio de los usuarios para ofrecer servicios y productos más personalizados. Lamentablemente, existe el riesgo de ser vulnerables con tanta exposición y de estar rodeados de cibercriminales que pueden perjudicar nuestra integridad.


Definitivamente, la prevención es la medida de seguridad número uno en el listado de contingencia frente a un ataque digital; sin embargo, es imposible asegurar al 100% que no vuelva a ocurrir algo parecido.


Cabe resaltar que, hoy en día, las principales amenazas identificadas por

los ejecutivos son el malware (software malicioso) y el phishing (suplantación de identidad al extraer datos privados).

Si bien a la fecha existen medios y/o herramientas que permiten proteger nuestra información, como es el caso del Blockchain, no es la herramienta necesariamente la solución, sino la aplicación disciplinada y periódica de las mejores prácticas de seguridad por parte de los usuarios de las organizaciones.


Existen empresas que han adquirido muy buenas soluciones de seguridad, pero esto no sirve si no son utilizadas ya sea por falta de capacitación, descuido o negligencia de parte de los usuarios.


Implementar un sistema de ciberseguridad, en cuanto a costo y tiempo, dependerá del tamaño de la organización y el nivel de complejidad de su infraestructura tecnológica y/o de operaciones de negocio. Sin embargo, el no implementarlo nos hará enfrentar tarde o temprano un escenario mucho más costoso al ser vulnerados, afectando esto a la reputación de nuestras organizaciones, la pérdida de clientes, ingresos, entre otros.


Los incidentes de seguridad pueden presentarse en cualquier momento y no les interesa a los criminales si nuestra organización esté en pleno proceso de cambio, implementando o cambiando un sistema de información o pensando en cotizar en bolsa; simplemente ocurren, por lo que no hay excusa y debemos de actuar ya.

¿Considera que la información fue útil?

Execution © 2018 EY - Todos los Derechos Reservados