Por Alejandra García, CEO y fundadora de Custos Consulting La ciberseguridad es un tema de moda en redes sociales, conversaciones de café y (afortunadamente) cada día más en medios masivos de comunicación.
Aunque el nivel de “awareness” sobre las implicaciones y consecuencias de un ataque informático crecen día con día, es importante enfatizar que todavía pocas organizaciones están atendiendo de manera integral y estratégica el problema.
Primero lo primero: ¿qué es un ataque informático?: un ataque informático o ciberataque es una forma de crimen no violento que busca explotar y/o violentar los sistemas informáticos de una organización; también es la explotación maliciosa con fines de lucro de las vulnerabilidades informáticas de una organización para hacerse del control de sus sistemas, operación y/o de sus datos críticos.
Como ocurren los ataques informáticos tienen muchas formas que son difíciles de detectar, sobre todo para organizaciones y gobiernos con un bajo nivel de consciencia sobre las consecuencias para la operación, resguardo y destino de los datos y continuidad de las operaciones. Conmutadores telefónicos (voz sobre IP), correos electrónicos, datos no estructurados de un repositorio a otro, son sólo algunos ejemplos de cómo un ataque informático puede infiltrarse en nuestros sistemas sin darnos cuenta y después de horas, días, semanas o meses ser activado con alguna instrucción específica para atacar sin que nos demos cuenta.
Para detectar este tipo de riesgos informáticos, es necesario más que enormes presupuestos y sistemas informáticos de última generación, contar con una cultura de la ciberseguridad que desde el elemento humano (el más vulnerable), se tenga una verdadera consciencia de los riesgos y de las consecuencias (económicas, fiscales, financieras y hasta humanas) que pueden existir de ser víctima de un crimen informático. Proteger los activos tangibles e intangibles de las organizaciones, empresas y gobiernos no es cuestión de tecnología solamente, sino de voluntad y percepción.Un paso preventivo para detectar los riesgos informáticos a los que una organización puede estar expuesta es la evaluación de riesgos. Este assessment inicial o diagnóstico de cómo está cada parte que compone la estructura de red de una organización, procesos de entrada y salida, detección y ponderación de riesgos que puedan existir en la operación del día a día y el nivel de exposición al riesgo de la organización.
La evaluación de riesgos es un componente clave de un proceso de gestión de riesgos integral en toda la organización, según se define en la Publicación especial 800-39 del NIST (National Institute of Standards and Technology) Managing Information Security Risk: Organization, Mission, and Information System View, los procesos de gestión de riesgos incluyen: (i) enmarcar el riesgo; (ii) evaluar el riesgo; (iii) responder al riesgo; y (iv) seguimiento del riesgo.
Este modelo es un ejemplo de cómo las organizaciones pueden diseñar sus propias estrategias para reducir los riesgos informáticos, partiendo desde los ejecutivos de nivel C, hasta los practicantes de recién ingreso. Entender y desarrollar modelos de evaluación y exposición al riesgo, pero sobre todo para organizaciones que crecen rápidamente, allegándose de nuevo talento y tecnologías informáticas y de infraestructura de red es clave para no se sorprendido.
Un análisis de ciberseguridad debe incluir elementos internos y externos que pueden ser un obstáculo para ponderar y analizar correctamente los alcances de una estrategia de ciberseguridad tales como tecnologías IT, tecnologías OT/ICS (SCADA) y/o cumplimiento PCI-DSS.
La naturaleza restrictiva de algunos fabricantes de TI en la integración de sus sistemas a las soluciones de un competidor deja desprotegida a muchas organizaciones y les quita la capacidad de realizar análisis exhaustivos de TODOS los datos. Otros riesgos son desde el punto de vista del usuario, las prácticas de captura de información y bases de datos de terceros que puedan ser un riesgo potencial por una falta de entrenamiento en este rubro y de awareness por parte del personal de un área o unidad de negocio determinada.
De acuerdo con información del Institute for Security and Technology, un negocio tarda aproximadamente 287 días en recuperarse de un ataque informático (los que se recuperan) y 350 millones de dólares es lo que en promedio, pagaron las empresas sólo en 2020 por retomar el control de sus sistemas y datos después de un ataque de tipo ransomware. Palo Alto Networks estimó en USD $312,493 dólares el costo no recuperable que tiene un rescate solicitado por criminales informáticos a organizaciones y empresas en 2020; 171% más que en 2019. En 2020, sólo en los Estados Unidos, más de 2,400 instituciones sanitarias y educativas fueron víctimas de ransomware.
En México, la importancia de combatir a los cibercriminales ha sido reconocida por lideres empresariales y legisladores en ambas cámaras, a tal grado que a través de la Comisión lntersecretarial para el Desarrollo del Gobierno Electrónico, la Cámara de Senadores envió a principios de mayo de 2021, una solicitud formal para conocer el estado que guarda la implementación de la Estrategia Nacional de Ciberseguridad. Esta solicitud no es cosa menor, ya que en México de enero a junio de 2020, se registraron tres mil 100 millones de intentos de ciberataques hacia empresas, instituciones financieras y gubernamentales.
Finalmente, ¿qué tipo de estrategias debería considerar una organización, empresa o institucion de gobierno que ha determinado su nivel de exposicion al riesgo en materia de ciberseguridad?, la respuesta es simple y a la vez amplia en su ejecucion: contar con la capacidad de analizar el punto final de ciberseguridad o endpoint, donde se visibilice de manera proactiva toda la infraestructura de red, permitiendo un monitoreo 24/7 de las operaciones, permitiendo analizar y desviar flujos de datos que no comprometan la continuidad del negocio, protegiendo los datos propios de la organización, de los clientes, empleados y proveedores.
