Amenazas informática

La cultura de ciberseguridad en la empresa: Un cambio que avanza de forma paulatina

 Llega un mail al correo del trabajo y el remitente es desconocido. ¿Se abre o no? Esta simple acción es el reflejo de la cultura de ciberseguridad de cada empresa. “El correo electrónico sigue siendo el vector principal de las brechas de ciberseguridad en Chile, como en otros países. Es a través de este medio que los malware entran y se propagan en toda la organización. El error habitual es de no revisar el remitente, hacer clic, navegar por los vínculos de estos correos hacia sitios y descargar archivos que contienen códigos maliciosos que se auto-ejecutan silenciosamente y permiten la intrusión a los sistemas y datos sensibles”, explica Cyril Delaere, gerente de servicios de Ciberseguridad de Entel Corporaciones.

   Según un estudio realizado por la empresa de seguridad cibernética ESET, al día se descubren 46 vulnerabilidades en la brecha de seguridad, las que al año suman 16 mil. “De acuerdo a Encuesta Global de Seguridad de la Información (GISS), un 77% de los encuestados considera que el descuido de un empleado es la fuente más probable de un ataque. Esto nos obliga a pensar que la cultura de ciberseguridad de una empresa parte por medio de procesos de capacitación continua a sus funcionarios respecto de la importancia de la seguridad de la información y las herramientas disponibles para su uso adecuado”, explica Ricardo Céspedes, gerente senior de ciberseguridad de EY.

   El costo de esta falla cultural amenaza con ser elevadísimo para una empresa: puede perder su información, la de sus clientes, de sus proveedores y de su personal. También pueden perder capacidad de producción al bloquearse la maquinaria industrial por un malvare o ransomware.

¿Responsabilidad de todos?

   Antes de apuntar un culpable, hay que preguntar si como país tenemos conciencia sobre la importancia de la ciberseguridad y las amenazas latentes. Según Daniel Álvarez, Académico de la Facultad de Derecho de la Universidad de Chile y Socio Ciberseguridad Humana, hay temas pendientes. 

   “Hemos avanzado bastante en los últimos años. Primero, en el 2017 se aprobó una Política Nacional de Ciberseguridad que se transformó en un política de Estado implementada tanto por el gobierno de la presidenta Bachelet como por el gobierno del presidente Piñera, quienes están haciendo una muy buena labor por incrementar los niveles de conocimiento público de este tema, con campañas de televisión incluidas. Además, luego de los ataques al sector bancario, aumentó la percepción de importancia de la ciberseguridad en las organizaciones sensibles y se han generado importantes cambios en ellas. Estos días en EE.UU -donde se encuentra invitado junto a 22 líderes mundiales en ciberseguridad, conociendo distintas experiencias- nos ha permitido conocer muchísimos casos de empresas que han debido parar su producción como consecuencia de ciberataques a sus instalaciones”.

   En Chile, la adherencia de los trabajadores a estas políticas internas, va avanzando: “Muchas organizaciones han invertido últimamente en programas de ciberseguridad en todos los ámbitos y estimamos en 8% a 10% de sus nuevas inversiones, dedicadas a la concientización para sus empleados. Es una cifra relevante, ya que los programas hacia la organización son altamente beneficiosos versus su costo. Las empresas invierten en controles de seguridad para mejorar sus defensas o prevenir brechas, para asegurar la continuidad de su operación. Sin embargo, estos controles se deben relacionar con los riesgos y comunicárselos a los usuarios. Pero sin cultura de ciberseguridad, puede llegar el usuario a sentirse demasiado protegido, ‘la empresa se preocupa, lo hace por él’. El empleado debe de manera permanente estar alerta, en particular con el acceso a la información y datos sensibles de la empresa u organización”, grafica Cyril Delaere, gerente de servicios de Ciberseguridad de Entel Corporaciones.

  Ricardo Céspedes, gerente senior de ciberseguridad de EY, plantea que hay otro flanco a cuidar: “El mayor error de las empresas es considerar que los ciber incidentes ocurren por medio de ataques externos de las organizaciones y confiar el mayor recurso e inversión a las redes perimetrales, cuando internamente se establecen controles mínimos para proteger la información. Es ahí donde la estrategia debe ser holística partiendo desde la anticipación a través de la ciber inteligencia, la prevención con controles avanzados, la detección con monitoreo robusto todos los días las 24 horas, y los mecanismos de respuesta eficientes y bien orquestados”.

SIGA LEYENDO: https://digital.elmercurio.com/2019/08/21/EMXX-Y/EMXX-Y-20190821-008#zoom=page-width