Las crecientes amenazas sumado al profundo impacto de los ciberataques ha elevado la preocupación de los países por esta materia. Consultamos con dos expertos que entregan su visión del alcance e importancia de un plan efectivo para abordarlo.
Si abordar un incidente de ciberseguridad a nivel de una mediana empresa suele ser un gran dolor de cabeza para la organización, no será menor después idear un plan o estrategia para que una situación como tal se vuelva a repetir. Pero entonces, ¿qué se puede esperar a nivel país? ¿Existe un respaldo a nivel macro para abordar este asunto que deriva en ciertos casos en millonarias pérdidas financieras además del robo de información y datos sensibles a nivel de usuarios o empresas?
Mirada nacional
Los gobiernos han tomado conciencia de que la seguridad cibernética no se puede dejar al libre desarrollo y de lo que hagan particularmente ciertas empresas. AETecno consultó con dos especialistas internacionales en esta materia para conocer los alcances y posibilidades de lidiar más eficazmente con las amenazas y riesgos cibernéticos.
Consciente de la notable y provechosa alianza entre los gobiernos y el uso de la tecnología en la prestación de servicios y operaciones, Tom Burt, Vicepresidente corporativo de Seguridad de Clientes y Confianza en Microsoft, explica que este mayor uso intensivo e interconexión “han creado riesgos que deben ser manejados a nivel nacional. Estos riesgos van desde los robos de identidad, pasando por fraude, hasta sofisticados esquemas de espionaje económico o militar, o incluso ataques que atentan contra la estabilidad de los procesos democráticos; todos ellos, con un impacto indiscriminado tanto en ciudadanos, empresas y gobiernos”.
Por eso es que la idea de las estrategias nacionales de ciberseguridad asoman como un mecanismo deseable para enfrentar los riesgos y afrontar las amenazas. Para el directivo de Microsoft, quien estuvo de visita en Chile, las estrategias nacionales más exitosas comparten tres características importantes. Primero, están reflejadas en documentos “dinámicos” que se han desarrollado e implementado en asociación con grupos de interés públicos y privados y que por lo tanto son flexibles y permiten ser actualizarlos en la medida que se desarrolla el panorama de riesgos. Segundo, se basan en principios claramente articulados que reflejan valores sociales, tradiciones y principios legales. Tercero, las estrategias se basan en un enfoque de gestión de riesgos en donde gobiernos y el sector privado acuerdan cómo gestionar dichos riesgos de manera adecuada, hay un diálogo permanente.
Si pensamos a nivel empresarial, el panorama es particularmente atractivo para los atacantes, pues, según explica Ghassan Dreibi, líder regional de seguridad de Cisco, “la transformación digital generó una nueva superficie de trabajo que puede recibir nuevas amenazas. O sea, con más dispositivos conectados a la red, la probabilidad de que uno de ellos se quede como la puerta de ingreso de una amenaza, es mucho más alta”. A eso, agrega: “En la transformación digital, el objetivo es siempre conectar más cosas, lo que no siempre viene acompañado de un nuevo diseño de red integrado con ciberseguridad. Entonces, al final, la solución se queda con muchos puntos vulnerables”.
Riesgos y amenazas
En esta línea, la compañía californiana presentó hace poco su último reporte de seguridad para medianas y pequeñas empresas, que identifica como principales desafíos o amenazas los ataques dirigidos a blancos específicos, los códigos maliciosos direccionados (amenazas de Zero Day generalmente) y el popular ransomware que genera un impacto directo en valor a la empresa. Cabe destacar, que las pequeñas y medianas empresas representan la mayor parte de la fuerza laboral de los países, por lo que su posición es clave desde este punto de vista.
De acuerdo con el panorama más actual de riesgos, Burt de Microsoft comenta: “Observamos que en la medida en que las soluciones de seguridad avanzan, los hackers/adversarios son más propensos a perseguir objetivos fáciles a través de la ingeniería social, donde constantemente evolucionan sus tácticas para ser muy efectivos”.
El directivo cita como ejemplo, el phishing, donde “se persigue el eslabón más débil de la cadena de seguridad: la persona”. De hecho, el 90% de las intrusiones se generan por errores humanos, explica. Algo similar visualiza Ghassan Dreibi de Cisco: “Es muy crítico porque los usuarios que normalmente no poseen buenas prácticas de uso de correo electrónico, de la información que se puede enviar a la nube, entre otros, se tornan un gran objetivo para los hackers, quienes toman provecho de la falta de conocimiento y visibilidad que tienen los sistema de seguridad actuales”.
Estas tendencias muestran que el impacto de los ciberataques traspasa la barrera de lo empresarial y perfectamente se pueden adaptar a usuarios comunes de la red. Por eso es necesaria la mirada global y regulatoria que vaya encaminando las maneras de combatirlo.
Una forma de aterrizar esa preocupación, desde la parte empresarial, la plantea el propio Dreibi: “Sería muy interesante que nuestros gobiernos sigan la misma iniciativa hecha por el gobierno de EEUU, donde un framework de adopción de Ciberseguridad fue preparado y presentado al mercado, NIST CyberSecurity. Con este tipo de orientación sería mucho más simple para una empresa seguir el camino correcto de adopción de mejores prácticas de ciberseguridad en su organización”.
Con todo esto, consultado por la manera de afrontar y combatir estas amenazas, Tom Burt concluye: “Es un tema de todos, con responsabilidad compartida. Una única entidad no puede resolver el problema, por lo que se necesita la concurrencia de muchos agentes. En ese sentido, la colaboración entre todos los agentes es vital para una ciberseguridad efectiva: gobierno, empresas de todos los sectores y personas naturales”.