Charla EFA: Ciberseguridad como pilar de la transformación digital de tu empresa

16 Jun

En una charla para las empresas de servicios financieros no bancarios asociadas a EFA, los ingenieros Adrián Ponce y Rodrigo Bustos, socios de la consultora Pretorian, analizaron los riesgos en el manejo de la información en compañías de servicios. Junto con evidenciar la lejanía que aún sienten las empresas con este tipo de riesgos, plantearon la necesidad de un cambio cultural en esta materia para que todos los integrantes de la organización estén concientizados en el valor de la seguridad.

La ciberseguridad en las empresas no es una tarea reducida a los departamentos de tecnología de la información (TI), sino una responsabilidad del conjunto de la organización. Esta fue la idea fundamental que plantearon los expertos de la consultora Pretorian, Adrián Ponce y Rodrigo Bustos, en la charla “Ciberseguridad como pilar de la transformación digital de tu empresa” realizada para los socios de la Asociación de Empresas de Factoring Chile (EFA).

En su presentación, ambos señalaron que en la actualidad los hackers no responden a la percepción tradicional de adolescentes o jóvenes tech a quienes les gusta desafiar tecnológicamente a las organizaciones. Por el contrario, se trata de entidades criminales muy estructuradas, ágiles y con una alta capacidad de adecuación a nuevos escenarios. “Hay una industria del cibercrimen, donde intervienen proveedores y clientes, que son los que perpetran los ataques”, explicaron.

FOCO DE LOS ATAQUES

Estas características hacen que los hackers sean mucho más rápidos que las instituciones a las cuales golpean. Agregaron que la amplia gama actual de dispositivos electrónicos ha expandido la llamada “superficie de ataque” de una entidad, lo que ha hecho más vulnerables a las organizaciones. De acuerdo con los datos que entregaron, en cinco años ha habido un crecimiento de 10 mil veces en ataques; asimismo, el 80% de estos tiene objetivos económicos, un 15% corresponde a espionaje y solo el 5% se atribuye a personas que apuestan a encontrar debilidades de los sistemas.

LA DEUDA ORGANIZACIONAL

Ponce y Bustos señalaron que hay una “deuda organizacional en ciberseguridad” que debe ser reducida al mínimo, lo que implica un cambio cultural y la colaboración de todas las unidades de una empresa, ser más ágiles en las respuestas y desarrollar una mejor adaptación a entornos cambiantes.

En este contexto, ambos advirtieron que las compañías e instituciones tienden a otorgar presupuestos menores a la seguridad de la información o adoptan conductas erróneas. Entre estas últimas mencionaron, por ejemplo, el crecimiento acelerado de infraestructura o de tecnología que “está de moda”, pero sin una evaluación de ella, sus costos o mantención; no incorporar la ciberseguridad desde el inicio de un proceso u operación; la asimetría de información, por ejemplo entre el personal de TI y las gerencias o directorios; vinculación con proveedores enfocados en la venta de marcas; empleados débilmente capacitados; y lo que definieron como “paradoja de la confianza”, que consiste en entregar los “privilegios” de acceso a un tercero proveedor y, sin embargo, acotar los de los empleados de la propia firma.

En materia de ciberseguridad, indicó Bustos, el enfoque debe ser multidisciplinario, ya que no existe una solución única y es necesario hablarle “en simple” y de forma tangible a la gente de la organización sobre los riesgos que existen. “Este es un proceso a largo plazo y permanente y mientras antes partas, más rápido lo logras; hay ganancias muy rápidas al principio, y después se puede empezar a trabajar el resto”. El especialista insistió en que la ciberseguridad en una organización comprende a todos sus integrantes y que ello significa tener procedimientos, patrones de conducta seguros e intentar siempre ir un paso más adelante que el hacker. “Si hay un ataque, no es el equipo de TI el responsable y el único impactado, es la empresa completa”, concluyó.

Para Adrián Ponce, Chile es un país que, en términos comparativos, “está bien parado” en la región. “Lo que hay que trabajar es la conciencia de la ciberseguridad en las gerencias, en el directorio, y entender que esto no es solo una tarea del departamento de tecnología de la información, sino que es una tarea de todos quienes interactúan con la tecnología y los datos de la empresa”.

CIBERSEGURIDAD NO ES TENER MÁS TECNOLOGÍA

Según su experiencia, “muchas veces tenemos la tecnología, pero la pregunta es cómo le sacamos el mejor partido, cómo podemos ser más eficientes en capacitar continuamente a las personas, para que los que están interactuando con la tecnología tengan más conciencia de lo que significan las amenazas en ciberseguridad, y más conciencia para identificar las amenazas que utilizan al ser humano como brecha de entrada”.

POR DÓNDE PARTIR

El ingeniero insistió en que todas las empresas deben abordar el problema: “La inversión en ciberseguridad, porque no es gasto, es proporcional al tamaño y complejidad de la empresa”. También se relaciona con la vertical en que esta participa. “Hay mayor riesgo en la vertical financiera, en la que maneja dinero o datos más vendibles en el mercado”, señaló. Por su parte, Bustos afirmó que para una organización, “lo primero es conocerse, autoevaluarse o pedir la evaluación de alguien que te diga dónde estás, y que en conjunto construyan una ruta hacia dónde quieres llegar”.

Ponce recomendó que a los mecanismos de mejora continua en una compañía se agregue el compartir información con otras empresas del mismo rubro, “para así hacer una inteligencia común y tener un mejor análisis de lo que le está pasando a cada uno, y achicar las brechas de seguridad”.

“Si lo haces bien, muchas veces con un esfuerzo muy bajo, solo de horas-hombre o de configurar mejor la infraestructura actual, vas a reducir significativamente la brecha, antes que invertir en tecnología o en cambio de cosas. Por tanto, puedes construir una especie de mapa de calor, desde iniciativas de alto impacto en reducir la brecha, pero poco esfuerzo económico, a cosas que tienen un alto esfuerzo y un alto impacto”.


Compartir
Compartir
Compartir

Deja un comentario