Durante el tercer encuentro One2One organizado por eBIZ los expertos invitados coincidieron en que la ciberseguridad es algo que evoluciona en el tiempo, no estacionario, y se requiere una inversión constante en el monitoreo interno y externo para evitar ser víctimas de ciberataques.
Si uno de los componentes de la cadena de suministro tiene problemas de seguridad, se afecta a todos los eslabones, desde clientes hasta proveedores. Es por eso que se requiere un cuidado constante y un monitoreo inteligente de cada miembro del ecosistema. A esa conclusión arribaron los participantes del tercer encuentro One2One organizado por eBIZ, aliado estratégico en las relaciones entre las empresas y sus proveedores en la cadena de suministro.
Muchos años atrás se creía que los grandes ataques que sucedían en el resto del mundo no iban a pasar en el Perú, pero ahora todos, ya sean grandes o pequeños negocios, están expuestos a los mismos niveles de cibercrimen: lo que le pasa al vecino le puede pasar a uno. “Muchas empresas trabajan con sus proveedores sin siquiera revisar cuál es el cuidado de la seguridad que tienen ellos y luego de un ataque descubren que la falla venía desde afuera de la organización, de ese proveedor con una seguridad precaria”, advirtió Alfredo Alva, CISO (Chief Information Security Officer) de Niubiz.
A veces se trata del crimen organizado a nivel internacional, pero en otras ocasiones es un profesional en tecnología que hace sus “pininos” en este tipo de delitos y encuentra organizaciones que no tienen los niveles adecuados de protección y terminan generando riesgos para todo el ecosistema, añadió Alva.
“En el ciberespacio no hay fronteras. El tiempo y la distancia son relativos. Por eso hay que aplicar inteligencia a las amenazas. Tener un equipo que busque y sepa con antelación que va a pasar mañana, para estar preparados. Ver la lección aprendida y mejorar procedimientos, si se sufrió algún ataque. Es un círculo virtuoso”, añadió el contralmirante Ignacio Parra, comandante de ciberdefensa de la Marina de Guerra del Perú.
«En el ciberespacio no hay fronteras. El tiempo y la distancia son relativos. Por eso hay que aplicar inteligencia a las amenazas. Tener un equipo que busque y sepa con antelación que va a pasar mañana, para estar preparados».
– Contralmirante Ignacio Parra, comandante de ciberdefensa de la Marina de Guerra del Perú
Según Parra, en términos de defensa no importa quién sea el atacante sino qué medidas aplicamos para proteger la información, ya sea que se trate de una empresa o de una entidad del Estado. El nivel de riesgo aceptable puede variar según el tipo de dato a ser vulnerado, pero si está expuesto, el daño es el mismo tanto si es un delincuente que quiere cobrar por un secuestro como si es un activista que protesta por las políticas medioambientales que aplica la empresa, citó a manera de ejemplo.
Alfredo Alva remarcó que es vital contar con estrategias definidas atendiendo a estándares de la industria y analizando toda la data posible en las labores de monitoreo. Como proveedor se debe trabajar la confianza atendiendo a los parámetros que rigen en el cuidado de la seguridad en toda la industria. «No se trata de tener el producto más caro, porque no te va a servir necesariamente. Hay que ser estratégicos y elegir de acuerdo a las propias condiciones de riesgo”, afirmó.
Un tema del directorio
«Tenemos que ser conscientes de que nosotros gestionamos el riesgo, no la tecnología. La tecnología es un medio para poder gestionar el riesgo y cuando hago un requerimiento no es porque quiero tener lo último que ha salido en el mercado, sino que se está gestionando un riesgo de acuerdo a una estrategia. Tomando en cuenta eso vemos que, el error en el que caemos la mayoría de las empresas es creer que se trata de algo estacionario y no es así: es algo que evoluciona en el tiempo y requiere una inversión constante”, advirtió Marianella Cabanillas – gerente general de la Corporación Enerjet.
Es complicado, añadió, pero se debe explicar al directorio que la inversión en ciberseguridad es prioritaria, no algo complementario, y todos los miembros de la organización la deben cumplir, tal como se cumple con otras normas de la institución relativas a la salud, por ejemplo.
Al igual que la delincuencia común, que se desarrolla de forma constante y evoluciona en su organización en el tiempo, el cibercrimen no deja de realizar ataques y generar nuevas formas de lograr sus objetivos. «Eso es lo que un poco cuesta entender en el país”, remarcó Cabanillas.
Una forma de explicar su relevancia ante el directorio es comparándolo con los seguros, que son intangibles, pero esenciales para garantizar la continuidad de la operación. Se puede medir por auditorias, pero también solicitando un ciberseguro: ahí saldrá la lista de todo lo que debes cuidar en la organización para contratarlo, explicó Alfredo Alva.
Desde el directorio se debe tener claro que es su responsabilidad velar por que se cumplan las políticas en el grupo y las consecuencias si algo falla, añadió Rafael Bocanegra – gerente corporativo de seguridad de TI de Excellia (Grupo Romero). Cada día hay nuevos riesgos y la actualización es una necesidad que debe ser atendida por todos bajo la tutela o la guía de quienes se encargan de la dirección, anotó.
