Columnista: Erick Iriarte, CEO de eBIZ. *
Aunque resulte curioso, el hecho de no tener una regulación clara en materia de ciberseguridad es el menor de los problemas que enfrentan las organizaciones en tiempos digitales, más aún cuando lo que tienen en frente es un atacante que afecta sus activos digitales y, muchas veces, no hay mucho que hacer para bloquearlo. Es que la investigación en temas de informática forense llega siempre después de los hechos, después de la brecha expuesta, de los datos obtenidos, de la información accedida, después que el servidor esta inservible o encriptado. Siempre se llega tarde.
Los ejercicios de prevención sirven para evitar una diversidad de ataques, el desplegar políticas de mitigación de riesgo, establecimiento de políticas y cumplimiento de estándares. Añaden capas de menor inseguridad. Pero, como bien dijo alguna vez un buen amigo: no hay seguridad, lo que hay son menores niveles de inseguridad.
Si esto es un tema tan grave, que ataca desde los móviles que tienes en casa (y que no guardan más que tu propia información) hasta los activos críticos nacionales (como los recientes ataques al sistema del oleoducto en USA) ¿por qué no se toma la conciencia debida sobre esta problemática?
Resulta aún difícil de entender que no se reporten las brechas que se producen (mismas que ya de por si demuestran que existen, y que pudieran ayudar a otros a mejorar sus procesos y evitarlas). La mayoría de las organizaciones no denuncian por temor “al riesgo reputacional”, al posible impacto en su “valor de empresa”, o en las sanciones que pudieran recibir por no haber cumplido las normativas vigentes. Pero esta falta de información también da la falsa impresión de no está ocurriendo nada, o de que la situación al menos no es tan grave como parece.
Cientos de compañías alrededor del mundo son afectadas diariamente con diversos tipos de incidentes informáticos, desde desactualizaciones de software que abren brechas, hasta ataques con fuerza bruta, pasando por ataques dentro de las organizaciones hasta ransomware. Miles de dólares en “rescates” que al final terminan en chantaje; miles de dólares en inversión para evitar dichos ataques; miles en inversión para desplegar políticas de ciberseguridad.
Es cierto que esta temática ha generado una gama de nuevos empleos (que aún falta mucho por desarrollar en Perú y requieren de la cooperación de expertos y empresas que vienen de otros países porque no nos damos abasto).
Las preguntas son ¿Y la alta dirección cómo se está involucrando? ¿Cuántas organizaciones tienen en su directorio una persona que vea estos temas? (práctica que ya es normal, por ejemplo, en la banca) ¿Cuántas organizaciones que dependen de sistemas informáticos propios (o de terceros) para la continuidad de sus negocios no invierten en ciberseguridad? ¿Cuántas organizaciones consideran el tema de ciberseguridad como un mero adjunto a la unidad de tecnología? ¿Cuántos prefieren pagar un rescate por no tener adecuadas políticas de ciberseguridad a invertir para evitar estas acciones?
Y si miramos al Estado, que tiene como obligatorios primero el ISO 17799 y luego el 27000 sobre ciberseguridad, en efecto ¿Cuántas de sus instituciones cumplen realmente estas medidas mínimas para resguardar la información de la ciudadanía que tienen en su custodia o para resguardar la información que sirve para sus funciones?
En eBIZ no solamente tenemos una política activa en materia de ciberseguridad, sino que además contamos con la certificación ISO 27001 para resguardar la información de nuestros clientes y la que se transmite sobre nuestras plataformas. Ello, aunado al desarrollo de capacidades de nuestro equipo en la materia y la colaboración activa con las áreas de ciberseguridad de nuestros clientes.
La verdad es que los datos que podemos encontrar no nos ayudan. No se puede comprender como la alta dirección de las organizaciones no afronta esta problemática. Pero, peor aún, no lo entenderán hasta que les ocurra.
*Socio de Iriarte & Asociados y magíster en Ciencias Políticas de la Pontificia Universidad Católica del Perú.
Te invitamos a ver nuestro webinar de eBIZ CAMPUS : La ciberseguridad como ventaja competitiva
