beebright - stock.adobe.com
El estado de la ciberseguridad en las empresas chilenas
La seguridad requiere un enfoque integral para abordar las amenazas cada vez más complejas del entorno. Le ofrecemos un vistazo a la situación actual de la ciberseguridad empresarial en Chile, junto con algunos consejos de gestión de expertos.
Durante el último tiempo, el principal incidente de seguridad en empresas latinoamericanas ha sido la infección por malware. Según estudios de la compañía ESET, dos de cada cinco organizaciones han sufrido una infección por códigos maliciosos; de esas infecciones, el 7 % se debieron a ransomware, desencadenando el secuestro de la información de las entidades afectadas. Otros incidentes reportados son el acceso indebido a sistemas (18 %), la ingeniería social (15 %) y los ataques de denegación de servicio (12 %).
Este escenario ha llevado al Foro Económico Mundial a emitir un reporte donde se considera a los ciberataques como una de las amenazas globales de mayor impacto este 2020. En este sentido, el último ESET Security Report, un informe destinado a analizar el estado de la seguridad en América Latina con base en encuestas realizadas a más de 3.000 profesionales de la seguridad de diversas organizaciones de la región, concluyó que las preocupaciones que resultaron prioridad para las empresas latinoamericanas fueron los accesos indebidos a la información (61 %), las fugas de datos (58 %) y la infección por malware (58 %).
Los expertos advierten que a la seguridad en línea se le ha dedicado más tiempo, atención e inversión que los años anteriores, aunque aún queda camino por recorrer para cerrar la brecha que existe. Del lado de la seguridad fuera de línea, principalmente orientada a la capacitación de usuarios, políticas, normas y procedimientos, esta área avanza más lento de lo que debería. Si bien las normativas existen hace muchos años, todavía son pocas las empresas que se las toman en serio al mismo nivel de madurez que la seguridad de la información interna.
El principal reto regional es, entonces, lograr en las organizaciones un cambio de paradigma en torno a la seguridad integral.
Martín Fuentes, CenturyLink LATAM.
Martín Fuentes, security business senior manager de CenturyLink LATAM, explica que, en el pasado, se consideraba la seguridad como una disciplina netamente técnica, responsabilidad absoluta de los grupos de TI que, mediante la gestión de algunos componentes tecnológicos, ayudaban a que la red estuviera un poco más segura de las amenazas más conocidas.
«Con el paso del tiempo, este concepto aún persiste en muchas organizaciones que siguen considerando que la seguridad se limita a elegir la mejor marca de firewall y antivirus desde una visión netamente operativa. Lo cierto es que la seguridad ha dejado de ser algo netamente técnico para convertirse en un elemento crítico del negocio. Con los volúmenes de información que se manejan, y la criticidad de los datos almacenados, la seguridad no es ya algo propio de un área tecnológica, sino un componente que debe formar parte del ADN de las organizaciones. El cuidado de los datos de los clientes no es ya solo una buena práctica, sino una obligación para cualquier organización que desee mantenerse vigente», enfatiza.
Enfoque en la seguridad física y fuera de línea
Carlos Gaule, SONDA.
A juicio de Carlos Gaule, director de ciberseguridad de SONDA, hoy tenemos el desafío de enfrentar un importante cambio de contexto, producto de la actual situación de contingencia social. En este escenario, las organizaciones deben revisar su actual estrategia de ciberseguridad, tanto en el mundo en línea como en el «offline».
«En el mundo online, las organizaciones están expuestas a diversos tipos de ataques. Por ejemplo, según reportes del equipo de respuesta ante incidentes de seguridad informática (CSIRT) del Gobierno de Chile, durante los recientes episodios de contingencia social vividos en nuestro país, el número de ataques de denegación de servicio aumentó radicalmente. Más de 20 instituciones registraron eventos de aumento de tráfico producto de este tipo de ataques, así como también ataques del tipo defacement que buscaban poner páginas de apoyo al movimiento social», señala.
Agrega que, si vemos los riesgos desde una perspectiva offline, el tema es más complejo, pues los actos de vandalismo han dejado muchas sucursales de retail destruidas o seriamente dañadas, donde, además de la pérdida de productos y servicios, el daño realizado dejó a la policía sin evidencias para investigar, pues las unidades de grabación de las cámaras de seguridad fueron robadas o quemadas. Este tipo de soluciones estaban solamente conectadas a la red interna.
Así, los escenarios de sabotaje pueden ser aún más diversos, y la seguridad física ha tomado más relevancia. «Otra fuente de vulnerabilidades está en el manejo de la información sensible, como la que está en nuestros propios puestos de trabajo. Es común encontrar información crítica, como claves de acceso de diferentes plataformas y aplicaciones, direcciones IP o diagramas de servicios escritos en pizarrones en el área de operación. El manejo de la información es una actividad crítica a la hora de implementar una estrategia de ciberdefensa», advierte.
Marcelo Díaz, Makros.
Si bien tradicionalmente la seguridad empresarial entre los diferentes países de la región evidenciaba muchas diferencias y niveles de madurez muy distintos, a juicio de Marcelo Díaz, CEO de Makros, esto se ha nivelado rápidamente, sobre todo en lo que es seguridad offline, sin incluir los nuevos desafíos que nos impone el advenimiento de la nube. «Muchos clientes en la región consideran que, al migrar sus servicios a una modalidad de servicio dado en el cloud por algún proveedor de mucho renombre, mágicamente se tienen los problemas de seguridad resueltos, lo que no puede distar más de la realidad. De hecho, el manejo de estas nuevas tendencias soluciona o dan más velocidad a los procesos operativos de las empresas, lo que impone desafíos muy fuertes a las áreas de seguridad, como lo es el acceso y protección de los datos críticos de la empresa», recalca Díaz.
Sebastián Yoma, Arkavia Networks.
Sebastián Yoma, gerente de ciberseguridad de Arkavia Networks, indica que, actualmente, el recurso empresarial más atacado en las compañías en la región es el humano: «Los hackers lo saben muy bien y no dejarán de hacerlo hasta que sus tácticas dejen de funcionar. Esto se debe a la poca preparación en ciberseguridad de los empleados. Aunque las compañías recuerden a sus empleados proteger sus contraseñas, no suele ser suficiente: los Black Hats siempre atacarán las vulnerabilidades que les amerite más beneficio y menos esfuerzo».
Walter Montenegro, Cisco Chile.
Sin embargo, Walter Montenegro, gerente de ciberseguridad de Cisco Chile, sostiene que hoy hay más consciencia de que la seguridad para todos los sistemas que están conectados es relevante, y que no es un mito que un ataque puede ocurrir ocasionando pérdidas millonarias –e incluso el quiebre de una empresa– si no se aborda la seguridad de los sistemas que tienen en línea, así como de los datos, aplicaciones, bases de datos y dispositivos de usuarios finales. «Lo cierto es que, hoy en día, la mayoría de las cosas están conectadas. Sin duda una cosa lleva a la otra; la madurez de la seguridad de la información va a llevar a que la empresa tenga una seguridad online más robusta. No obstante, puedes tener seguridad online sin tener normativas claras, [pero] ambas deben convivir para tener una seguridad efectiva», resalta.
Consejos para gestionar correctamente la seguridad
Desde el punto de vista estratégico, las empresas deben diseñar cuidadosamente los mecanismos de seguridad que necesitan implementar. Asimismo, la prevención continúa siendo la principal herramienta en la lucha contra los códigos maliciosos y el robo de información. La adquisición de tecnologías de protección debe verse acompañada de una buena gestión de la seguridad a través de políticas y de educación para los usuarios.
Denise Giusto, ESET.
«Un correcto análisis de riesgo se traducirá en la instalación de soluciones de seguridad para la detección de infecciones (antimalware), la gestión de copias de respaldo, el despliegue de actualizaciones de seguridad, la protección de los procesos de autenticación en las redes empresariales mediante doble factor de autenticación, el cifrado de la información sensible, el despliegue de soluciones de EMM (MDM, MIM y MAM) o de sistemas IDS e IPS, entre otros. La adecuación de las herramientas necesarias para crear una arquitectura de seguridad en profundidad (es decir, seguridad por capas) será decisiva en la pronta detección de amenazas», destaca Denise Giusto Bilic, security researcher de ESET Latinoamérica.
La experta hace hincapié también en la importancia de la concientización de los empleados en materia de seguridad digital. Opinión que comparte Yoma, de Arkavia Networks, para quien es recomendable que las compañías, además de invertir en servicios de ciberseguridad, se preocupen en realizar campañas para educar a sus empleados en ciberseguridad, así como realizar periódicamente pruebas de pentesting (hackeo ético), para encontrar vulnerabilidades y corregirlas.
A juicio de Díaz, de Makros, el primer consejo es tratar de conocer muy bien cuáles son los activos importantes de la empresa y qué nivel de madurez se tiene en lo que a seguridad respecta. «Luego, basado en algún estándar internacional del tipo CIS, NIST u otro, entender cuál es la brecha que se necesita cubrir y hacer un plan para poder abordarlo, ojalá alineado con las expectativas de la organización. Si la empresa ha tomado la determinación de migrar a la nube, entender cuáles son los desafíos que se imponen. También, planificarlos, teniendo el conocimiento de los riesgos que se aceptan y los que hay que mitigar. Apoyarse en compañías que trabajen en el rubro y que puedan ayudar a abordar estos desafíos. Otra tendencia que se ha incrementado es la disminución del personal en estas áreas y los desafíos de seguridad distan mucho de disminuir. De hecho, todo lo contrario, cada día existen nuevos desafíos en esta área», resalta.
De forma similar, Montenegro, de Cisco Chile, manifiesta que primero se debe entender qué es lo que, como empresa, queremos resguardar. «Es importante entender cuáles son sus activos, dónde están sus mayores riesgos, qué cosas como compañía necesitan proteger y, con base en esas respuestas, establecer prioridades. Si, tras el análisis, el resultado arroja que la prioridad son sus sistemas en línea, sin duda hay que protegerlos; sin embargo, hay mucho que es back office, en estos casos la normativa es mucho más importante que poner un sistema que vaya a proteger un aplicativo que no es crítico para la compañía. Entonces el consejo es hacer un buen levantamiento, entender cuáles son los activos y terminar protegiendo eso que para la empresa efectivamente es crítico», concluye.
Consejos de gestión de ciberseguridad
Martín Fuentes, security business senior manager de CenturyLink LATAM, ofrece las siguientes recomendaciones:
- Una adecuada gestión de la seguridad requiere, sin duda, un compromiso de los altos niveles de la organización. Toda empresa que no cuente con esta venia de las altas esferas, incluso teniendo gente especialista para la tarea, está más cerca del fracaso que del éxito en su estrategia de seguridad.
- Tome decisiones informadas. La gestión de seguridad debe acompañar y apoyar al negocio, por lo que, para que nuestras decisiones sean acertadas, debemos entender qué estamos protegiendo y cómo cada activo aporta al objetivo de negocio de la compañía.
- Mediante la elaboración de un análisis de riesgo adecuado, podremos tener la base para definir las acciones y establecer los controles requeridos para mejorar el nivel de seguridad de nuestra organización. Siendo que los fondos y los recursos son finitos, esta estrategia le permitirá avanzar en primera medida con aquellas acciones que mayor impacto positivo causen en la organización.
- La capacitación y concientización siguen siendo fundamentales en cualquier organización. Toda estrategia puede fallar si los empleados (de cualquier nivel) no tienen el nivel de conocimiento necesario para evitar aquellos riesgos que muchas veces las herramientas tecnológicas no logran evitar.
- Focalizarse en la estrategia es un factor crítico de éxito. Los componentes técnicos sin duda son fundamentales en una segunda etapa, pero, siendo la seguridad ya un elemento de negocio, debemos enfocarnos primero en los objetivos que el negocio requiere para, a partir de ahí, construir toda la estructura tecnológica que los apoye.
