Pasar al contenido principal

ES / EN

CEO de ESET para A. Latina: “Los CEO ya se preocupan por la ciberseguridad”
Viernes, Enero 5, 2018 - 09:45

Las empresas de la región son cada vez más conscientes de que la seguridad informática es clave en el desarrollo de su negocio. Sobre este tema, conversamos con Federico Pérez, de la transnacional eslovaca.

- ¿Una solución antivirus no asegura mucho si es que detrás no hay un usuario educado sobre seguridad informática? 

El concepto de seguridad o la mejor protección es una combinación de la mejor tecnología con productos que tienen inteligencia artificial para predecir determinadas conductas dentro de la computadora. Tienen muy buenos niveles de protección sin afectar el rendimiento de la computadora, pero también es necesario un usuario educado. Ello porque aún teniendo un producto de seguridad actualizado, los cibercriminales todos los días crean variantes de los malware. Claro, lo que tratamos de hacer las compañías de ciberseguridad es estar delante de ellos, pero no siempre se logra y puede ser que ocurra una nueva variante de malware que un usuario educado pueda prevenir no haciendo clic en un enlace en el que no debería ingresar. Ahí es donde juega un rol muy importante la educación del usuario. Tener un usuario que sepa cuáles son los riesgos y sea cauteloso en la utilización de la tecnología es muy importante.

Aún teniendo un producto de seguridad actualizado, los cibercriminales todos los días crean variantes de los malware.

La tecnología no es para tener miedo. Todo lo contrario, es para utilizarla, pero de modo prudente y responsable. En ESET hacemos muchísimas actividades que rodean el concepto de educación, porque entendemos el concepto de seguridad desde las dos partes. Hacemos la Gira Antivirus, donde nuestros expertos en seguridad hablan sobre las últimas tendencias en seguridad en universidades de América Latina. También tenemos giras hablándoles a los profesionales de TI, hacemos el Foro de Seguridad Informática para los medios. Tenemos una actividad educativa por cada público de la comunidad, de forma tal que podamos seguir mejorando la seguridad en sentido genérico. 

*Crédito imagen: Flickr / Blue Coat Photos

- ¿Qué tan frecuentes pueden ser los ataques informáticos para las empresas? 

Es difícil definir una periodicidad, pero podría ser todos los días. Hay diversos tipos de ataques. Los hay dirigidos y los hay masivos. Y una compañía puede ser infectada si un trabajador hace clic en un enlace no deseado. Y aquí hago un paréntesis: también las empresas tienen que invertir en la seguridad de sus empleados, porque hay un dicho en ciberseguridad que dice que el eslabón más débil es el usuario. Y es que si el analista de administración que no está vinculado con TI y no tiene conocimiento sobre eso hace clic en un enlace no deseado y en la infraestructura de la empresa la seguridad no está bien configurada, puede ser que la empresa se infecte. Eso demuestra lo importante que es que toda la empresa esté educada sobre los riesgos de seguridad informática. Volviendo a tu pregunta, según el ESET Security Report prácticamente el 83% de las compañías de la región han sufrido un incidente de malware en 2016

Tener un usuario que sepa cuáles son los riesgos y sea cauteloso en la utilización de la tecnología es muy importante.

- Los eventos del ransomware (un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de quitar esta restricción) han aumentado. ¿A cuánto asciende el mercado de ciberseguridad en América Latina y a cuánto debería ascender teniendo en cuenta que la seguridad es una obligación?

El mercado de ciberseguridad viene creciendo mucho. En América Latina, en 2016 ascendió a US$ 783 millones, según Gartner. Hoy el 75% de las empresas de la región afirman tener algún producto contra los malware. Pero para tener una mayor seguridad, las empresas deben contar también con otras soluciones como el firewall y de backup. Los firewall son soluciones que brindan seguridad perimetral y las de backup permiten tener un respaldo de tu información de forma tal que si tienes un incidente con lo que tenías almacenado dentro de tu computadora, puedas tener un respaldo de información y restaurarla.

*Crédito imagen: U.S. Air Force / Philip Carter

- ¿Entonces, cuál es la solución básica de seguridad que debe tener una compañía?

Soluciones antimalware, una de firewall y una de backup y, ojo, solo la mitad de las empresas de la región tienen esos controles de seguridad aplicada. Nuestro consejo para las empresas: inviertan en seguridad, porque si hoy no lo hacen, mañana pueden tener un problema muy grave. Por ejemplo, ser infectado por un ransomware y tener que pagar muchísimo más dinero de lo que le hubiese costado las licencias para protegerse.

- ¿Ustedes ven una disposición hacia eso porque una mayor seguridad implica aumentar los presupuestos y estamos en una etapa en que las empresas los están reduciendo?

Es por eso que es muy importante para nosotros la evangelización, difundir los peligros a los que una compañía está expuesta. Un fenómeno que viene ocurriendo en los últimos años en América Latina es que el mismo CEO, y no solo el chief information officer, se preocupa de la temática de la seguridad. De hecho, en las reuniones con nuestros clientes he tenido contacto con muchos gerentes generales que quieren estar presentes para escuchar nuestro diagnóstico y saber cuáles son los principales riesgos de las empresas que dirigen. Eso es muy importante y vemos que va en aumento. Tal vez más lento de lo que nos gustaría, pero sí viene en crecimiento. Un reporte de tendencias de la consultora IDC de hace un año dice que en un futuro cercano el 70% de los CEO de las transnacionales que operan en América Latina van a tener a la ciberseguridad entre el top tres de sus temas.

Un fenómeno que viene ocurriendo en los últimos años en América Latina es que el mismo CEO, y no solo el chief information officer, se preocupa de la temática de la seguridad.

- ¿Es costoso acceder a los sistemas y paquetes de protección para empresas?

Muchos me lo preguntan y yo les respondo: ¿cuánto vale tu base de datos de tus clientes? Es incalculable, porque si a tu principal competidor le llega la base de datos de tus clientes, puedes perder un gran porcentaje de las ventas, o quizá el negocio entero. Entonces, cuando lo medimos desde el lado de la potencial pérdida que pueden tener las empresas por un incidente de seguridad verdaderamente las soluciones no son costosas y es algo que cualquier empresa podría tener. Las empresas están cada vez más conscientes del riesgo que conlleva internet of things, el hecho de estar constantemente conectados y vemos que el mercado de ciberseguridad va en aumento. De hecho, muchos clientes nuestros que ya tienen una solución nos piden más de ellas.

- ¿Existen suficientes profesionales TI en la región?

No. Hay mucha demanda para la cantidad de profesionales que hay. Eso sucede en todo lo que es TI, pero te puedo hablar más de lo que es seguridad informática. Se estima que dentro de los próximos tres años se van a necesitar dos millones y medio de puestos en ciberseguridad en el mundo y se cree que solo se va a llegar a un millón y medio. Es decir, va a haber un gap de un millón de posiciones solo en lo que es la ciberseguridad. De ahí nuestra insistencia a ir en la gira antivirus a hablar en las universidades de ciberseguridad. Es importante que las escuelas educativas incorporen ciberseguridad dentro de sus currículos de forma tal que sea una materia más y que despierte mayor interés y que sea más fácil que los profesionales de TI se dediquen a este rubro, porque definitivamente es algo que va a continuar creciendo por la cantidad de amenazas y por hackers de sombrero negro que se dedican a generar amenazas en vez de prevenirlas y trabajar en generar un entorno más seguro.

Se estima que dentro de los próximos tres años se van a necesitar dos millones y medio de puestos en ciberseguridad en el mundo. Entonces, va a haber un gap de un millón de posiciones solo en lo que es la ciberseguridad.

- La privacidad de los datos se ha convertido en un tema que empieza a generar discrepancias. ¿Cuál es tu visión al respecto?

Lo más importante es que el usuario pueda sentirse seguro y cómodo con la información que comparte, pero debe ser consciente de que en cada momento, al hacer un check in en un hotel o mediante las redes sociales o sea en cualquier lugar, está dejando constantemente información. Alguien podría hacer un seguimiento de tus pasos solo con los lugares donde te registras. Estamos muy expuestos como usuarios a la privacidad y la tendencia de las plataformas es tener cada vez más información del usuario. Allí hay un desafío muy grande en ver cómo achicamos la brecha de una manera tal que el usuario pueda disfrutar de su privacidad a pesar de que tenga que poner su información en todos lados y que las plataformas comiencen a operar sin utilizar esa información.

Hay plataformas que te dicen sube tus datos y si quieres que yo te recomiende algún lugar para comer, entonces dime dónde estás y activa tu ubicación. Ante ello a mí me parece que el usuario que quiera hacer eso debería poder hacerlo, pero el que no lo quiere hacer obviamente tiene que estar en su derecho de poder utilizar la herramienta que quiera, de entrar en un hotel sin tener que volcar toda la información que le solicitan, por citar un ejemplo.

El usuario debe ser consciente de que en cada momento, al hacer un check in en un hotel o mediante las redes sociales o sea en cualquier lugar, está dejando constantemente información. Alguien podría hacer un seguimiento de tus pasos solo con los lugares donde te registras.

- Mucha gente no es consciente, pero ahora solo con el teléfono y sin algún clic de por medio, ya damos indicación de dónde estamos, a qué hora entraste o saliste de un lugar.

Exactamente, por eso siempre recomendamos como tip de seguridad revisar la política de privacidad de las aplicaciones. Siempre las descargas tienen una política de a qué le estás dando acceso (ubicación, cámara, micrófono). Por ahí bajas una calculadora y te pide acceso a la cámara y eso es llamativo. Lo que recomendamos es utilizar una aplicación que no tenga esos requerimientos de, por ejemplo, darle acceso a tu cámara de celular. Hay muchas cosas que el usuario, en el afán de utilizar la tecnología, no se detiene a analizar. Eso es sumamente importante y hay que dedicarle tiempo.

- Las empresas de seguridad informática ya empiezan a trabajar con las autoridades a resolver casos.

Sí, eso ya sucede aunque no tan frecuentemente. En el caso de ESET hemos colaborado a resolver casos en los que la tecnología o la seguridad informática estuvieron involucradas. Nosotros participamos solo cuando las autoridades quieren investigar algún caso, si nos piden ayuda sobre algo que nos involucre como empresa de ciberseguridad o si viniese un cliente a solicitarme un informe sobre algo de dentro de su compañía. Eso sí, siempre protegiendo la información de nuestros usuarios. Por ejemplo, en Argentina colaboramos en la elaboración del proyecto de la ley de ‘grooming’ (legislación para proteger a menores del hostigamiento sexual en internet).

- ESET colaboró con las autoridades en el caso Nisman. 

Así es. La justicia nos convocó para ser peritos informáticos en la causa. No obstante, tenemos un convenio de confidencialidad por la que no podemos revelar nada del asunto. Como te dije, cuando algún ente gubernamental nos convoca, acudimos al pedido.

Hay muchas cosas que el usuario, en el afán de utilizar la tecnología, no se detiene a analizar. Eso es sumamente importante y hay que dedicarle tiempo.

- El voto electrónico plantea muchos desafíos. ¿Qué se puede hacer al respecto? 

Lo que siempre decimos es que pasar todo a voto electrónico es demasiado riesgoso. Creemos que un sistema hibrido para empezar a hacer pruebas podría funcionar. Lo que es importante que se tenga en cuenta es que cuando hay un sistema operativo detrás puede haber vulnerabilidades y cuando hay vulnerabilidades cualquier atacante puede tener en la mira una votación y arruinar algo tan sensible como es la decisión o el derecho a votar que tiene la gente. Ojo, también hay un desafío de seguridad en cuanto a lo que son el manejo de tendencias a nivel de redes sociales. No olvidemos a los trolls de las elecciones de Estados Unidos y Francia.

Definitivamente el voto el electrónico, al tener un sistema operativo detrás, conlleva un desafío en cuanto a la seguridad y como decimos por ahí un sistema híbrido en un periodo de pruebas puede ser lo ideal. Es decir, tener la parte tecnológica facilitando la votación está perfecto, nosotros apoyamos todo lo que sea el uso de la tecnología para facilitar la vida de la gente, pero por otro lado que haya controles que validen que no haya podido haber un ataque dirigido sobre la votación misma, porque ahí se corre un riesgo muy grande. 

- La seguridad de la infraestructura se ha vuelto un tema muy crítico. ¿Qué peligros y eventuales soluciones pueden haber?

Un corte en alguna infraestructura que te da la posibilidad de prestar los servicios o vender tus productos es catastrófico para una empresa. Ha habido casos de empresas este año que han tenido pérdidas millonarias por temas de seguridad. Incluso apagones (Industroyer, el primer malware hecho para atacar la red eléctrica, es el virus responsable de que toda Ucrania se quedara a oscuras en diciembre de 2016). Hace algunas semanas hubo un ransomware en un municipio de Estados Unidos que anuló cualquier tipo de trámite y de acceso a información. Eso tiene un costo muy alto. Ahí es donde digo que si no estás cuidando tu infraestructura crítica cuando eres una empresa, cuando eres un Estado es realmente no cuidar lo más importante.

Lo que es importante que se tenga en cuenta es que cuando hay un sistema operativo detrás puede haber vulnerabilidades y cuando hay vulnerabilidades cualquier atacante puede tener en la mira una votación y arruinar algo tan sensible como es la decisión o el derecho a votar que tiene la gente.

- ¿Cómo avanza el ransomware en América Latina? 

Vemos que es cada vez más peligroso y avanza cada vez más. La cantidad de empresas y usuarios infectados con ransomware viene creciendo año a año y por otro lado es una amenaza cada vez más compleja y por lo tanto es más difícil prevenirla. Entonces, tanto por el lado de la cantidad como de la calidad del ransomware, ambas vertientes vienen en crecimiento en América Latina, lo que preocupa a muchas empresas sobre todo por el caso masivo que han ocurrido. En el Wannacry (el 12 de mayo de 2017 se registró un ataque a escala mundial que afectó a las empresas Telefónica, Iberdrola y Gas Natural, entre otras compañías en España así como al servicio de salud británico) hubo muchas empresas muy conocidas afectadas. Si bien los ransomware son cada vez más complejos y más numerosos, hay soluciones para eso. De allí la importancia que tiene para nosotros recomendar a las empresas adelantarse e invertir en seguridad. Solo con una solución de backup, chau ransomware. Claro, puedes ser infectado, pero podrías restaurar el backup y no perder tu información.

Solo con una solución de backup, chau ransomware. Claro, puedes ser infectado, pero podrías restaurar el backup y no perder tu información.

- Para terminar, hablemos de ESET. ¿Cómo va en América Latina y cuáles son sus retos para los próximos años? 

Venimos creciendo año a año. En el 2016 Gartner estimó que el mercado de seguridad creció 1% en dólares en América Latina, pero ese 1% en dólares, cuando lo trasladamos a las monedas latinoamericanas, tiene un crecimiento bastante interesante. Se acerca al 10%. Con un mercado en crecimiento, en ESET estamos creciendo por encima. En 2016 el crecimiento fue de 1% y nosotros crecimos 3%. Este año estimamos que el crecimiento del mercado va a estar entre 5% y 6% en dólares y nosotros creceremos 10%. Entonces realmente venimos teniendo años muy buenos que nos marcan que la manera en que venimos haciendo las cosas van por el camino correcto. Por países, creceremos por encima del 20% en dólares en Argentina y Colombia, Perú y México cerca del 8%, y Brasil 11%. Como verás en los principales países con los principales PIB de América Latina estamos teniendo crecimientos muy interesantes respecto a 2016. Actualmente estamos en la cuarta posición de todas las compañías de ciberseguridad en América Latina y en lo que respecta solo a seguridad para empresas, somos player número 2, lo que es un gran logro.

Autores

Fernando Chevarría