[COLUMNA] Cibercrimen: la protección de la información en tiempos de ciberataques

Pedro Montalván, jefe TI de PSA MARINE PERÚ, nos explica el impacto que puede tener el cibercrimen en una organización y propone algunas acciones para hacerle frente.

La pandemia potenció el uso de la tecnología y hoy en día es difícil pensar en una organización que no utilice tecnología en sus procesos, incluso en nuestro día a día aprendemos nuevas formas de estudiar, reunirnos, trabajar, etc. Cuando inició la pandemia y con ella las restricciones de movilidad, muchas organizaciones se vieron afectadas por no estar preparadas para el trabajo remoto y primaron la operativa frente a la ciberseguridad (protección de la información en el ciberespacio), se efectuaron desarrollos, integraciones y se permitió la movilidad y el teletrabajo, muchas veces de una forma insegura.

Cuando hablamos de cibercrimen, nos referimos al uso del ciberespacio y dispositivos informáticos para afectar a organizaciones o individuos. Estas actividades tienen diferentes motivaciones: ideológicas, económicas, de ego (posicionamiento dentro de un grupo), etc. Y pueden tener impactos muy negativos en las organizaciones como por ejemplo: pérdidas económicas, pérdida de confianza de los clientes, divulgación de información confidencial, etc.

Hoy en día, muchas organizaciones han optado por utilizar servicios en nube con la confianza puesta en las buenas prácticas de los proveedores y muchas veces olvidando que la protección de la data y la responsabilidad sobre la información alojada en la nube es de la organización y nuestro proveedor es solo un custodio.

Dicho esto, debemos tener claro que un ciberdelincuente (persona que realiza actividades ilegales en el ciberespacio) solo necesita una vulnerabilidad para afectar nuestros sistemas e información, mientras que muchas veces los esfuerzos de los especialistas de seguridad de la información y ciberseguridad quedan cortos para hacerles frente. Es por ello, que basado en mi experiencia propongo realizar lo siguiente:

• Alinear los esfuerzos de seguridad para el cumplimiento de los objetivos del negocio: Todos nuestros esfuerzos deben ayudar a que la organización cumpla sus objetivos, no podemos implementar ningún control si ello afecta a las operaciones, reduce la eficiencia o dificulta el logro de objetivos institucionales.
• Conseguir el apoyo de la alta dirección: Todo ciberataque impactará directamente en el negocio, si nuestros líderes no toman conciencia de ello es casi seguro que nuestros esfuerzos serán nulos, busquemos que los líderes entiendan a la ciberseguridad como una inversión y no como un gasto.
• Priorizar qué se va a proteger: En base a un exhaustivo análisis de riesgos debemos identificar cuales son nuestras “joyas de la corona”, aquellas que si se ven afectadas nos generarán muchos problemas.
• Implementar controles: Nuestro análisis de riesgos nos dirá que controles debemos aplicar. Muchas veces pensamos que la seguridad de la información (protección de la información en cualquiera de sus formas) y la ciberseguridad solo son controles lógicos o tecnológicos, pero podemos aplicar otros tipos de controles:
  • Físicos: Una puerta, un guardia de seguridad, etc.
  • Lógicos: Un Firewall, antivirus, SIEM, etc.
  • Administrativos: auditorías, políticas, plan de respuesta a incidentes, etc.
• Reutilizar controles existentes: Todas las organizaciones tienen algún control aplicado, aprovechemos eso para no partir de cero, algo es mejor que nada.
• Medir eficiencia: Debemos tener métricas de eficiencia, esto depende de cada organización. Pero algunas pueden ser: tiempo de remediación de vulnerabilidades, % de usuarios concientizados, número de incidentes reportados, etc.
• Mejorar: Las lecciones aprendidas, las oportunidades de mejora, las recomendaciones, etc. Todo ello debe ser evaluado y aplicado en nuestro programa. Recordemos que la tecnología avanza, con ello las amenazas y si no estamos preparados es cuestión de tiempo que nos veamos afectados.

Espero que este artículo contribuya en fortalecer las estrategias de seguridad de la información y ciberseguridad en sus organizaciones. Todas estas recomendaciones han sido efectuadas en base a mi experiencia y bases teóricas, no están escritas en piedra.