Las prioridades de ciberseguridad están trastocadas

Las compañías latinoamericanas siguen invirtiendo poco para protegerse de los ciberataques y sus prioridades están demasiado centradas en la tecnología y no lo suficiente en políticas y estrategias, advierten expertos en ciberseguridad.

Patricio Soto, director de estudios de la consultora IDC Chile, señala que las compañías siguen más reactivas que proactivas.

Una empresa con una buena estrategia, políticas claramente definidas, empleados conscientes de la seguridad y todos los procesos implementados tal vez no tenga que hacer grandes inversiones en tecnología y pueda aprovechar mejor la que tiene, plantea el experto, expositor de la conferencia sobre seguridad de IDC en Santiago.

Se debe hacer más por garantizar que las tecnologías se comuniquen entre sí y alerten a los diferentes departamentos de las amenazas. Además, los usuarios y empleados, que siguen siendo los puntos débiles ante ataques de phishing, deben recibir más capacitación, manifestó.

Cristián Peña, analista sénior de dispositivos comerciales y de consumo de IDC, agrega que el nivel de conciencia sobre amenazas a la seguridad continúa siendo bajo, pues aún no estamos 100% inmersos en la economía digital.

La gente todavía tiene la mentalidad de proteger activos físicos y no digitales, como la propiedad intelectual y los datos personales, asegura Peña.

El analista aseguró que muchas empresas aún albergan soluciones de seguridad dentro de sus instalaciones, más lentas de actualizar que las basadas en la nube, además de ser más caras y eventualmente más vulnerables a los ataques en el futuro.

Resulta esencial que las empresas no solo garanticen que su propia infraestructura esté protegida, sino también la de sus proveedores y socios.

Un reciente ciberataque al operador chileno de cajeros automáticos Redbanc que provocó la filtración de detalles de 41.593 tarjetas de crédito y débito fue consecuencia de una violación a la seguridad de uno de los socios de la red.

Ya no es suficiente que los bancos estén seguros; sus socios deben estarlo también, advierte Soto.

RESPONSABILIDAD COMPARTIDA

Banco de Chile, uno de los cuatro bancos más grandes del país, sufrió un ciberataque el año pasado que le significó el hurto de US$10mn. El hecho obligó a aumentar la inversión en tecnología de ciberseguridad, señala Abraham Ermann, jefe de ciberseguridad del chileno Banco Estado.

Sin embargo, indica Ermann, los bancos siempre han estado a la vanguardia en la tecnología de ciberseguridad y el principal problema reside en el usuario.

En enero de este año, la agencia chilena de protección al consumidor, Sernac, llegó a un acuerdo con siete instituciones bancarias conforme al cual los bancos asumirán una mayor responsabilidad en casos de fraude.

No obstante, según Ermann, el acuerdo simplemente formaliza un compromiso tácito que los bancos siempre respetaron con los clientes, e insiste en que la responsabilidad de la seguridad es una tarea compartida.

Los bancos tienen la tecnología para crear alertas si detectan amenazas, pero es el consumidor quien debe tener más cuidado con la protección de sus datos personales, precisó.

MAYOR INTEGRACIÓN

Sin embargo, también hay desafíos tecnológicos. De acuerdo con Francisco del Real, gerente nacional para Chile de la empresa israelí de ciberseguridad Check Point, todavía no existe integración suficiente entre tecnologías de la información y tecnologías operativas, lo que se convierte en un problema mayor a medida que se van conectando más dispositivos.

Agregó que una cosa es proporcionar soluciones de ciberseguridad para un semáforo y otra hacer lo mismo para una PC. Todos están conectados a la misma red, pero con diferentes protocolos y, si no existe una integración real, realmente no se está logrando una seguridad efectiva, señaló el ejecutivo.

Según Del Real, la mayoría de los dispositivos de IoT no están protegidos contra amenazas más allá de la tercera generación, mientras que los ataques han alcanzado el nivel 5, por ejemplo los ataques de día cero como Wannacry, que explotan vulnerabilidades de software no actualizado. Según Check Point, el 97% de las empresas en todo el mundo no están protegidas contra ataques de nivel 5.

Los hospitales se encuentran entre los que están en mayor riesgo dada la rapidez con la que los dispositivos clínicos se están digitalizando.

También es necesario es que los paneles de control permitan a los profesionales de TI visualizar todo y no ver solo en silos.

Según Del Real, las empresas aún no ven los beneficios de invertir en tecnología o estrategias de seguridad y no asignan presupuesto. Según IDC, menos del 5% de los presupuestos de la empresa se gastan en seguridad.

Hay conciencia del riesgo, pero se toman pocas medidas, indicó, para luego agregar que un ataque será más costoso para la reputación de una empresa que una solución de seguridad.

Luis Lubeck, analista de seguridad para América Latina de la firma eslovaca de ESET, concuerda con Del Real al comentar que todavía existe malware que muchas personas ya conocen y no ven como amenaza y que aún así cobra víctimas en América Latina, porque las empresas no aplican los parches de seguridad.

Un ejemplo de este tipo es Mekotio, malware que se presenta como empresa legítima para que los usuarios hagan clic en un enlace donde podrían descargar código malicioso y sufrir robo de información personal. El año pasado, Mekotio asumió la identidad del servicio de mensajería chileno Chilexpress.