¿Qué es peor: perder información o reputación?

  • Compartir

Por el Ing. José Luis Mauro Vera, MBA, CISA - Manager de Advisory, EY Uruguay

No se puede volver atrás. Ya sea por decisiones corporativas, presiones de la competencia, el desarrollo de nuevos mercados o simplemente marcar presencia, las organizaciones públicas y privadas dicen presente en el mundo digital.

A nivel público: el desarrollo de la fibra óptica y conectividad 5G, los trámites en línea, la historia clínica centralizada, la facturación electrónica, y otras tantas iniciativas. A nivel privado:  el fuerte desarrollo de la economía digital, el aumento de la automatización de procesos mediante RPA o inteligencia artificial y el desarrollo de aplicaciones móviles y de autoservicio. Sin embargo, también crecen en forma sostenida en cantidad y en complejidad los incidentes de seguridad reportados y tratados por el CERTuy de AGESIC. Es que, al aumentar la influencia, dependencia y uso de tecnologías de la información, dispositivos y aplicaciones móviles, también aumentan los riesgos asociados a la explotación intencional de vulnerabilidades de dichas tecnologías los llamados ciber riesgos, que son el punto de partida de los ciberataques.

Los ciber riesgos

El grado de desarrollo e implementación de estas nuevas tecnologías no es proporcional con las medidas adoptadas para identificar y tratar los ciber riesgos. Según la última encuesta global EY Global Information Security Survey, el 84% de las firmas que participaron afirman no recibir reportes adecuados vinculados a éstos. La situación en Uruguay no parecería ser diferente, si se tiene en cuenta que son muy pocas las organizaciones que han incorporado las prácticas de gobierno corporativo, y en menor medida las de gobierno de seguridad de la Información.

Si bien es cierto que muchas organizaciones en Uruguay han implementado pruebas recurrentes de intrusión y de vulnerabilidades, el alcance y los resultados suelen reportarse a nivel técnico. Por este motivo, no suelen ser analizados por los directorios de las organizaciones debido que no están expresados en el lenguaje de negocio.

Si bien se trata de procedimientos fundamentales, dichas medidas distan mucho de constituir una estrategia de ciberseguridad holística y efectiva, con el mismo grado de transversalidad con la que se implementan las nuevas tecnologías. ¿Cómo contemplar los ciber riesgos emergentes? ¿Cómo se encuentra preparada la organización para un ciber ataque? ¿Cuáles son las consecuencias desde el punto de vista reputacional?

Más allá del backup

Por ejemplo, ante un incidente de seguridad de la información, ya no solo se trata de la activación de un centro de datos alternativo o la necesidad de recuperar un respaldo, ya que las consecuencias de los ciber ataques pueden adquirir un grado de visibilidad mayor.  Si a lo anterior le sumamos las consecuencias del incumplimiento con las leyes y regulaciones de protección de datos personales locales e internacionales y la publicidad e impacto negativo de los propios consumidores en las redes sociales, el daño o impacto podría implicar daños severos a la imagen y reputación de la entidad.

Pensando en el ecosistema, no solo en los “servidores”

El enfoque tradicional del tratamiento de los riesgos se encuentra basado en activos que las organizaciones pueden controlar: aplicaciones, bases de datos, servidores, estaciones y redes de trabajo. Sin embargo, con la llegada de los dispositivos móviles y el internet de las cosas (IoT), ya no es posible controlar ni monitorear lo que ocurre con todos los smartphones o dispositivos que nuestros proveedores o clientes controlan y que éstos utilizan para acceder a nuestras aplicaciones o servicios y a la de terceros.

Pensemos que hoy las entidades forman parte de “ecosistemas” donde los distintos sistemas de información interactúan entre sí, y en el cual cada organización puede ser consumidora o productora de información para terceros. En dicho intercambio, las barreras y muros se hacen difusos, por lo que es necesario seguir un enfoque distinto. Las organizaciones podrían responder mediante la realización de las siguientes actividades:

  1. Diagnóstico y valoración de la madurez de los procesos de ciberseguridad.
  2. Valoración del ciber riesgo, identificando aquellos componentes tecnológicos o de información críticos para el negocio (del ecosistema) y que se encuentren más expuestos a incidentes de ciber seguridad.
  3. Evaluaciones de vulnerabilidades sobre los componentes tecnológicos más riesgosos.
  4. Análisis de escenarios de amenazas para dispositivos más riesgosos.
  5. Integrar aspectos de ciberseguridad en procesos de negocio, tanto a nivel de gestión como de dirección (por ejemplo, en la contratación de servicios de terceras partes, inclusión de requerimientos de seguridad en los procesos de desarrollo y mecanismos seguros de implantación).
  6. Sensibilización y capacitación a los usuarios, a nivel operativo, de gestión y de dirección.
  7. Procesos de gestión de incidentes de seguridad y de continuidad de negocio.

Todo lo anterior no solamente ayudará a prevenir, sobrellevar situaciones de ataques, sino que podría ser visto como una ventaja competitiva en la medida que la organización adopte controles de ciberseguridad dentro de su estrategia, para proteger no solo a los activos de información de la organización, sino también los de sus proveedores y clientes.


Publicado en el Diario El Observador el 26 de abril de 2019.