La Cámara de Comercio e Industria Peruana Alemana organizó el webinar “La ciberseguridad en el día a día” con Erick Iriarte, CEO de eBIZ, como expositor. En ella se alertó sobre los riesgos a los que se exponen las empresas de todo tamaño y se dieron recomendaciones para prevenir ser víctimas de los cibercriminales.
El último caso de filtración de información secreta regional, Guacamaya Leaks, vuelve a poner en alerta a los Gobiernos sobre la importancia de resguardar los sistemas informáticos que emplean. En México, uno de los afectados por el hackeo masivo, se está debatiendo la creación de una ley que obligue a la ciberseguridad. En Chile, otro afectado, ha tenido que renunciar el general del ejército por la gravedad de la data tomada de los servidores de las fuerzas armadas. Y también la están pasando mal en Colombia y El Salvador.
En el Perú el ejército no fue la excepción y ha sido lo blanco de la organización Guacamaya. Se han filtrado un total de 175 gigabytes que contienen más de 283 mil correos electrónicos de entre el 2021 y el 2022. Entre la data confidencial, según el portal CIPER de Chile, están al menos tres planes estratégicos peruanos para defendernos en caso nuestro vecino decida declararnos la guerra.
Sin embargo, la ciberseguridad es algo que afecta a toda la población y no solo a los altos comandos militares, sino también a la Reniec y sus sistemas digitales de registro de partidas de defunción, recientemente vulneradas. Desde las grandes corporaciones internacionales, como Uber, hasta las pequeñas empresas, como un consultorio de pediatría, pueden ser objeto de un ataque y perder información valiosa. Existen diversos riesgos latentes en el día a día que pueden afectarnos independientemente del rubro o sector de negocio. Así lo advirtió Erick Iriarte, CEO de eBIZ, durante su presentación en el webinar “La ciberseguridad en el día a día” que organizó la Cámara de Comercio e Industria Peruana Alemana.
Iriarte dijo que toda empresa debe comprender que la Información no es algo más dentro de organización, sino que se trata de un activo valioso, el cual debe ser protegido. Desde la base de datos de clientes hasta las fórmulas de patentes o la semilla que se usa en cierto terreno. Toda información que genera ventajas frente al mercado y permite la continuidad del negocio necesita una gestión de su seguridad adecuada en todo su flujo de vida, tanto dentro como fuera de la organización.
No todas las empresas van a necesitar un oficial de seguridad interno, como puede suceder en un banco, pero sí requieren elegir medios proactivos de defensa, los cuales se pueden tercerizar, añadió. La decisión de qué medidas de seguridad aplicar van a depender del tamaño de la empresa en términos de cantidad de usuarios que acceden a la data crítica o sensible y no tanto de los volúmenes de facturación mensual, complementó.
Las soluciones pasan sobre todo por aplicar una cultura organizacional en favor de la prevención de incidentes contraproducentes, la cual debe estar promovida desde la alta dirección, remarcó Iriarte. “En ciberseguridad el eslabón más débil es el ser humano”, advirtió.
«La reorganización implica la aplicación de tecnología sin variar el core. Por ejemplo, soluciones de procurement o sourcing» (que mejoran la eficiencia)
Como ejemplo citó el reciente ataque perpetrado a Uber. Ellos invierten mucho en cuidar su seguridad, pero fueron víctimas de un ataque porque un empleado le dio su clave de acceso a una persona que se estaba haciendo pasar por su jefe. No se trató de un tema tecnológico, sino de un error humano: un trabajador fue víctima de una estrategia de ingeniería social.
Esto es muy común que suceda también en empresas locales más pequeñas. Ya sea porque les llega un mail del gerente de finanzas pidiendo revisar un adjunto que no está inserto o porque les mandan un enlace con supuestas fotos de una conducta indebida de un compañero de trabajo en una fiesta. En el primer caso la víctima responde sin darse cuenta que no es el correo real del jefe y se pone en disposición de recibir el malware en un segundo mensaje. En el otro ejemplo, que se empleó mucho cuando las fiestas estaban prohibidas por la cuarentena, la víctima cae a la primera.
«La información no es un accesorio, sino un activo de las empresas: desde las BBDD de los clientes, hasta los diseños industriales. Por ello hay que dejar de verla a través sólo de la gestión interna de data»
Lo importante, refirió Iriarte, es formar una cultura de ciberseguridad en cada uno de los trabajadores, que muchas veces caen por falta de formación de criterio en la materia. Como ejemplo citó al abogado defensor de Jennifer Paredes, quien en plena audiencia televisada a nivel nacional se le ocurrió compartir pantalla para demostrar que no le habían notificado un tema, sin darse cuenta que estaba mostrando la dirección electrónica del expediente. Luego pidió al juez reservar la información del alcance de la prensa, pero él mismo, sin darse cuenta, había dejado el acceso a disposición de cualquiera.
“Hay que cubrir la brecha humana en ciberseguridad”, remarcó. Es necesario proteger todos los equipos que se conectan a la red o el WiFi, como los controladores de riego tecnificado, pero sobre todo hay que enseñar a prevenir incidentes lamentables, agregó. La prevención es menos costosa que el gasto que implica resolver problemas de ciberseguridad. Y eso se aplica a todo tipo de organización, desde una zapatería hasta una planta industrial, porque una vez perdida la información crítica para la continuidad del negocio es muy difícil controlar qué sucederá o harán con ella, remarcó.
—
