Las empresas globales invierten alrededor de 10% en métodos de seguridad de la información internos y externos para enfrentar ataques que cada vez son más específicos. Pese a esto, en América Latina aún no existen acciones proactivas en cuanto al tema, sino más bien reactivas, lo cual refleja el grado de inmadurez en comparación con Europa o EE.UU.
El 30 de septiembre de 2010 una operación internacional procedió al arresto de 53 personas en Ucrania, Reino Unido y EE.UU., responsables de haber desviado hasta US$ 70 millones en transferencias fraudulentas. En 2008, una encuesta aplicada por McAfee entre mil ejecutivos senior del área de las Tecnologías de la Información (TI) reveló que sus compañías habían perdido entre todas una suma ascendente a los US$ 4.600 millones a raíz de espionaje industrial y pérdidas de propiedad intelectual.
Según Francis deSouza, presidente del grupo empresarial al que pertenece Symantec Corp., el pasado año se realizaron 300 millones de ciberataques a entidades de todo el mundo. Estos datos corroboran lo que se repite de boca en boca, el riesgo digital dejó de ser tema de ciencia ficción para concretarse en ataques reales que ocasionan pérdidas tangibles e intangibles, y siempre millonarias.
En el informe “Managing digital risk: Trends, issues and implications for business”, presentado por Lloyd's, compañía líder mundial en el sector de los seguros, y elaborado por expertos en seguridad TI de los laboratorios HP, se indican cinco conclusiones respecto al estado actual, perspectivas y recomendaciones a las organizaciones en lo que atañe al riesgo digital.
Estas se resumen en que: “1. el riesgo digital debe convertirse en una preocupación de las juntas directivas, 2. a medida que los negocios dependen más de la tecnología y esta continúa cambiando vertiginosamente, aumentará el riesgo digital, 3. se elevará por lo mismo el alcance, frecuencia, complejidad y escala de los ataques digitales hacia los negocios, con cada vez mayor sofisticación y adaptación de los atacantes a los cambios sucesivos del ambiente digital, 4. los managers de riesgo necesitan desarrollar estrategias integrales de evaluación de los riesgos digitales, que incluyan un espectro amplio de prevenciones, así como de soluciones, y 5. se impone la necesidad de incrementar la comunicación y cooperación para lidiar con estas amenazas digitales.”
Efectivamente, las corporaciones globales invierten cada vez más en métodos de seguridad de la información internos y externos, dedicando a este rubro al menos 10% del presupuesto total dedicado a TI.
Mientras, ¿qué ocurre en América Latina? ¿Cuál es el escenario de riesgo donde operan las empresas y cómo estas responden? Para tratar de dar respuesta a esta y otras interrogantes, AméricaEconomía indagó entre expertos para conocer sobre el estado actual de las estrategias de seguridad que aplican las empresas, así como sobre las políticas de management que rigen el tratamiento a estas cuestiones.
América Latina en ciber riesgo
En América Latina, al igual que en otras regiones del planeta, se mantiene el crecimiento en el volumen de empresas que se conectan y digitalizan sus procesos. Con esto, los incidentes de seguridad han aumentado. Lo notable es que “los tipos de riesgos digitales o ataques que sufrían las empresas han cambiado. Antes eran más indiscriminados, genéricos, por ejemplo originados por virus a nivel externo y por fraudes de empleados a nivel interno. Pero ahora se ve que las compañías son blancos específicos de ataques”, comenta Andrés Gil, socio de Deloitte Argentina experto en servicios de seguridad y privacidad. En este sentido, las empresas de magnitud que operan en mercados importantes suelen quedar en la mirilla con más frecuencia, tales como las grandes instituciones financieras de países como Brasil o México.
Con todo, se hace difícil conocer la cifra exacta de estos incidentes en América Latina. Según Felipe Peñaranda, miembro del Tiger Team de Seguridad de IBM para Latinoamérica, “muchas empresas ocultan sus problemas con la seguridad de la información. Y las leyes de la mayor parte de los países tampoco ayudan mucho. No hay regulaciones que obliguen a las empresas a declarar públicamente estos ataques, como sí es obligatorio hacerlo en EE.UU.”
“La mayoría de los efectos negativos del riesgo digital quedan puertas adentro, si salieran a la luz demostrarían cierto grado de fragilidad o falta de control adecuado en el sistema. Pero el hecho es que los bancos y otras entidades financieras, las compañías de seguros, los gobiernos, centros de salud, y supermercados son entre otras industrias las más proclives y afectadas”, comenta Gabriel Aramouni, director del centro de educación empresaria de la Universidad de San Andrés en Argentina.
Lo preocupante es que, a pesar de que estos temas se encuentran entre las tres primeras prioridades de profesionales como el Chief Information Officer (CIO), el Chief Security Officer (CSO) o el Chief Risk Officer (CRO), la participación de los gerentes generales y juntas directivas de estas preocupaciones es aún pobre. “El dilema está en que como son problemas técnicos que superan a la mayor parte de los dueños y CEOs, casi todos terminan actuando de acuerdo a aquella máxima de 'como no lo entiendo, me desentiendo'. Ahí se abre la ventana para que se cometa el error”, añade Aramouni.
Mientras, los ataques producen inconvenientes de todo tipo a las orgazaciones, desde el robo de datos hasta la caída de sistemas imposibilitando temporalmente la prestación de servicios a los clientes o usuarios. Sin embargo, los riesgos van más allá de estos actos. En la definición de conceptos que se ofrece en el reporte de Lloyd's, el riesgo digital abarca las amenazas operacionales -que cubren daños a la propiedad material de una organización, como son las computadoras que pueden romperse por la inundación de un local o un alto voltaje eléctrico-, las finacieras en tanto se pueden afectar los procesos del negocio o habría que cubrir gastos no previstos, las de propiedad intelectual que se refieren al robo de estrategias de márketing, patentes, proyectos de innovación, además de las amenazas legales y los potenciales daños a su reputación. En efecto, parte del razonamiento detrás de este muro de silencio con que las compañías latinas cubren su vulnerabilidad tiene que ver con el daño que el conocimiento de estos ataques ocasiona a la reputación de la compañía.
De hecho, buena parte de las veces que un CEO ve la amenaza digital como un riesgo alto, lo considera desde el punto de vista de la imagen y la reputación. “Por lo general su preocupación despierta después de que la propia empresa, u otras compañías conocidas dentro de su mismo sector, han sufrido por este tipo de incidentes”, señala Gil.
Así, la percepción del riesgo digital es en general pobre en América Latina. Con la excepción de instituciones bancarias y compañías de telecomunicaciones, en la región se observa “una inmadurez en cuestiones de seguridad de la información. Acá aún las empresas lidian con estos problemas de una forma reactiva más que proactiva. Cuando surge una situación, se enfocan a resolverla y luego lo mismo con la siguiente, pero falta un planteamiento estratégico”, apunta Peñaranda. Para rematar, la inversión en la seguridad de TI no es la que debiera, “en países como Brasil y Argentina esta inversión está entre 1% y 5% del presupuesto dedicado a TI, muy bajo en comparación con la cifra ideal que es al menos un 10%. Encima, estas inversiones se concentran en manejar el riesgo externo, gastando en protección perimetral pero la percepción del riesgo interno es todavía mínima, aunque el evento de Wikileaks a principios de 2011 despertó la conciencia sobre esta amenaza”, agrega el experto del Tiger Team.
Los realistas ajustan las velas
Las grandes empresas, tanto en América Latina como en el mundo, son las que lideran la marcha en las iniciativas y acciones para prevenir, disuadir y responder al riesgo digital. Un artículo de The Wall Street Journal da cuenta de que, como reacción al nuevo contexto, las empresas aumentan el chequeo al personal de TI, dado que se ha observado que el número de afectaciones y ataques a la seguridad de la compañía han estado originadas o relacionadas con estos profesionales. Por lo mismo, tanto previo a su contratación como durante el tiempo que trabajan en la compañía se les somete a un estrecho monitoreo.
John Ali Samadzadeh, consultor en la División TI de la compañía de reclutamiento Michael Page, indica que son muy relevantes “las referencias de colegas o superiores de los candidatos a puestos de ejecutivos medios y seniors en el área de TI, entramos en detalle con la persona para conocer su personalidad”.
Mientras, el control del personal en países latinoamericanos no alcanza los niveles a los cuales se ha llegado en las empresas globales, donde incluso comienzan a usarse software que evalúan el lenguaje de los empleados para percibir cambios en su ánimo respecto a la compañía. “Se monitorean por ejemplo los registros de eventos en los sistemas, o cuestiones operativas pero no lo que hace cada uno de los empleados. Hay también más restricciones legales para hacerlo”, dice Gil.
Sobre el tema, Felipe Peñaranda explica que el debate adquiere matices éticos y legales, dividido entre los argumentos que defienden la seguridad de la organización de un lado y la privacidad de las personas del otro, “ante la escasez de leyes que cubran estos casos, la pauta del buen proceder se traza por las decisiones de los jueces. Hasta ahora las cortes están decidiendo a favor del trabajador cuando la compañía no advierte de este monitoreo, mientras da la razón a la entidad cuando existen contratos que incluyen y pactan los controles”.
En cambio, algunas empresas toman otros recaudos. Samadzadeh advierte que “se están construyendo equipos orientados a asegurar la información y contenidos digitales. Además, existen distingas certificaciones -CEH, CISM o CISSP- con las cuales los profesionales se pueden preparar mejor para ser parte de la solución y no del problema”.
Lo que resulta evidente es que la tendencia a contratar profesionales para los cargos de CIO o CSO aumenta en las compañías que operan en la región, pero sobre todo en las más grandes con volúmenes muy importantes de operaciones, o en las que se dedican específicamente a temas de tecnologías de la información. Pero el desconocimiento y las negligencias dentro de las Pymes es rampante. “Apenas si realizan backups de su información, o toman medidas de protección como la imposición de contraseñas para acceder a los sistemas”, refiere Aramouni.
Con todo, algo resulta claro dentro del escenario actual. Para evaluar en su total dimensión los alcances y potencial evolución de los riesgos digitales, las empresas tendrán que proceder a evaluar las amenazas y el cambio en el panorama tecnológico, para así tomar decisiones más conscientes sobre cómo actuar para mitigar y responder a estas.