Educación y certificaciones especializadas son importantes para ciberseguridad

La ciberseguridad es la práctica consciente de proteger los sistemas digitales de las amenazas cibernéticas. ¿Qué tanto se ha avanzado en el Perú para conseguir tal desafiante reto? Para profundizar en este tema, ComputerWeekly en Español conversó con Daniel Neyra Rodriguez, especialista senior de Ciberseguridad e Infraestructura de la empresa de telecomunicaciones Entel Perú, quien asegura que es menester una capacitación constante y evaluación de riesgos para obtener una organización segura en estos tiempos.

¿Cuáles son los retos y desafíos en el campo de la ciberseguridad a nivel global?

Daniel Neyra: Como desafíos, creo yo, hacer un mayor uso de la inteligencia artificial para mejorar nuestras herramientas de detección, protección y respuesta inmediata va a ser un desafío clave para seguir manteniéndonos seguros. Otro punto importante que considero en mi experiencia es el tema de la autenticación. Como sabes, actualmente, ya no es suficiente tener un usuario y una contraseña; los ataques han evolucionado tanto que se necesita doble lectura de autenticación, códigos UTP, temas de encriptación, entonces eso es parte de los desafíos ante la evolución creciente de amenazas.

Daniel Neyra, Entel Perú.

También considero importante la educación. Se necesita más profesionales capacitados en este campo como un tema más de especialización porque hay una escasez, por decirlo así, de manera global, de especialistas de ciberseguridad como tal, y eso es parte de los desafíos.

Desde Entel Perú, ¿cuáles son aquellas buenas prácticas que vienen implementando para difundir una cultura de ciberseguridad?

Daniel Neyra: Entel toma de manera responsable el tema de la ciberseguridad, es parte de nuestra cultura. Creo que todas las empresas deberían integrarlo de esa forma. Como punto, dictar el tema de capacitación a los colaboradores, que son muchas veces la puerta de entradad de alguna amenaza o el target de estos atacantes. Lo que siempre digo: capacitación constante, mostrarles cuáles son los riesgos y de qué forma pueden ser atacados o vulnerados.

Como siguiente punto está el tema de la evaluación de riesgos. En Entel, tenemos constante evaluación de riesgo, tanto interna como externa. Cómo nos vemos desde dentro y cómo nos ven desde afuera. Eso nos permite tener una compañía segura en esos dos ámbitos. También es importante el tema de las vulnerabilidades, es un tema crítico para cualquier empresa; nosotros tenemos control de ese tema, hemos ido evolucionando como todos, y recientemente hemos incorporado la evaluación de riesgos de los proveedores porque, si bien es cierto que conseguimos ser una empresa 100 % segura, necesitamos que nuestros partners o proveedores también tengan esa cultura, esa medida de protección, porque finalmente todos trabajamos en conjunto.

Y, como punto final, una evaluación y renovación constante de las herramientas de ciberseguridad. Solo para ponerte un ejemplo, lo que tradicionalmente nosotros llamamos “antivirus”, ha evolucionado a una herramienta que se llama XDR, que adicionalmente a lo que hacía un antivirus, analiza comportamiento. Eso, en combinación con inteligencia artificial, permite tener una alerta temprana y detecciones más a detalle, con más profundidad.

¿Qué recomendaciones brindaría a las empresas sobre cómo afrontar las diversas ciberamenazas actuales?

Daniel Neyra: Se necesita invertir en programas educativos y de certificación para formar los equipos o personal de ciberseguridad. Sabemos que la ciberseguridad se puso en auge en el momento en que inició la pandemia, y durante todo ese transcurso ha ido de manera creciente. Las empresas han visto que es un tema importante y, así como Entel, están capacitando a su personal. Entonces, las demás empresas deberían replicar esto porque el tema de ciberseguridad no es un tema de moda, sino que va vivir con nosotros todo el tiempo.

En cuanto a las amenazas que afrontamos actualmente, creo que las más conocidas o más recientes son las de ransomware, que tienen un poder alto de destrucción a nivel de compañías, que generan muchos desastres. También el tema clásico de phishing, ataques de ingeniería social, que son básicamente las puertas de entrada en muchas empresas; por eso decía que es importante capacitar a los colaboradores.

El tema de vulnerabilidades es muy importante. Gestionar las vulnerabilidades que tengas en infraestructura, en tus aplicaciones. Considerar el modelo de zero trust, que es básicamente la asignación de privilegios, solo los privilegios necesarios. Esto va permitir que nuestra compañía de cierta forma esté segura, solo tener los permisos necesarios.

Otro punto importante es tener un buen plan de disaster recovery porque, valgan verdades, en algún momento va ocurrir una interrupción del servicio, [y esto sirve] para tener una recuperación rápida del servicio y evitar el impacto de una caída.

Como último punto, el tema de backup. Es un punto importante, no solo por tenerlo, sino contar con un backup seguro, porque muchas veces las empresas tienen su backup, pero lo tienen dentro de su misma red o dentro de la misma red de los equipos, no está protegido de manera aislada. Entonces, cuando hay un tema de vulneración de toda la infraestructura pues, básicamente, el backup no te sirve. Es ahí donde viene el tema del backup seguro. Eso es lo que venimos afrontando actualmente y las empresas deben tenerlo en consideración.

Desde Entel Perú, ¿qué consejos brindaría para gestionar con éxito un proyecto de infraestructura de TI?

Daniel Neyra: Tener definido claramente el objetivo. ¿Qué es lo quieres hacer? Ese es el punto más importante. Luego, ya como parte del desarrollo del proyecto, tener un plan detallado del proyecto, incluido los riesgos; esto es muy importante, porque en un proyecto de infraestructura se tiene todo planificado, las actividades, todo, y muchas veces no se plasman los riesgos, lo que –por algún u otro motivo– podría generar una demora sustancial en el proyecto. Con base en esos riesgos, debemos mapearlo todo para que el proyecto sea exitoso.

Otro punto importante que considero es el tema de los roles y las responsabilidades dentro del proyecto para que éste se pueda ejecutar de manera adecuada. Para que cada integrante o colaborador sepa exactamente cuál es su rol y función, y qué es lo que debe hacer o aportar para que ese proyecto se lleve bien, y al éxito.

Como punto final respecto a ese tema, creo que es muy importante, cuando ya se implementa y se genera el proyecto, el tema de la capacitación y la documentación porque, muchas veces, el área que implementa es el área de ingeniería, por ejemplo, y ese proyecto una vez implementado se lo traslada al área de operaciones. Entonces, el área de operaciones necesariamente requiere de una buena capacitación y una buena documentación para poder asumir la solución de ese proyecto y pueda operarlo de manera adecuada.