Carlos Kornhauser, director de la unidad de gobierno, riesgo y cumplimiento en Cybolt
Hace algunos años se pensaba que las grandes empresas, bancos o instituciones financieras eran las únicas víctimas digitales. Ahora bajo esta nueva realidad hiperconectada, un gran número de empresas saben que los ataques son inminentes.
De acuerdo con la Condusef (Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros) en 2019 se registraron en México fraudes cibernéticos que dejaron pérdidas por 11.1 mil millones de pesos. Para el año 2020 tan solo en Latinoamérica se reportaron un aproximado de 41 billones de intentos de ciberataques, siendo México el país más agredido con 34 por ciento de estos, según datos del reporte FortiGuard Labs de Fortinet.
Podemos ver que el volumen de ciberataques y pérdidas económicas continúan incrementándose cada año. Lo más preocupante es que cada vez más fraudes cibernéticos son exitosos con un menor número de intentos. Gran parte de esto se debe a la sofisticación de su tecnología de asalto.
Desde mi punto de vista creo que el aprendizaje más grande es que hemos dejado de pensar que a mí no me va a pasar. Por mencionar un ejemplo, hemos atendido médicos a los que les secuestraron su información y se les pide rescate por sus historiales clínicos, entre otros casos.
Si tuviera que mencionar las reglas clave para la gestión de riesgo en las Pymes serían:
• Estar conscientes de que existen riesgos e identificarlos. La base es tener presente que hoy todos podemos ser víctimas y no hay peor situación que desconocer los riesgos a los que estamos sujetos.
• El plan de ciberseguridad debe ser práctico y simple. Existen varios modelos y metodologías complejas. Lo mejor es hacerlo simple para que nos permita identificar los procesos que realmente generan valor y que pueden ser vulnerados. Enfocándose en lo que realmente es relevante. No basta con identificar el riesgo, se debe generar un plan para resolverlo.
• Dar seguimiento. Muchas veces se definen planes y al pasar un año surge la expresión “nos ganó el tiempo”. Los ataques se actualizan a diario, si no se tiene un control integral y constante se van dejando huecos que resultan ideales para ser vulnerados; la mejor estrategia es aplicar actualizaciones frecuentemente y capacitar a los usuarios, concientizarlos en reforzar sus contraseñas, no abrir correos o mensajes desconocidos y nunca compartir información sin asegurarse de las credenciales del solicitante.
Hoy en día existen en el mercado soluciones y herramientas especializadas que se adaptan a la necesidad y presupuesto de cualquier empresa, incluso en pagos mensuales. Las tecnologías más exitosas son las que se basan en patrones de comportamiento, integran paneles de control dando visibilidad, para evaluar en tiempo real si es una acción válida o requiere una respuesta automática de defensa.
Considero que este año habrá un gran avance impulsado a nivel global por regulaciones. Actualmente en algunos estados de EU ya se están implementando acciones muy interesantes en dónde, por ejemplo, si existe un fraude financiero, y la organización demuestra que tenía controles de seguridad adecuados la penalización, multa o responsabilidad se reducen de manera importante.
Por ejemplo, si una empresa sufre un ataque y no puede demostrar que se tenían controles de seguridad adecuados es muy probable que las sanciones asignadas sean mucho más severas.
Además, en México hemos visto que si se demuestra que existe un buen modelo de seguridad de información, las primas establecidas por aseguradoras para pólizas antifraudes son más bajas.
En conclusión, es importante establecer un plan acorde con el presupuesto del negocio, identificar riesgos clave y prevenir incidentes, sabiendo que existen tecnologías y servicios disponibles con diversos esquemas de adquisición y financiamiento ajustables a cada empresa y que incluso algunos de ellos incluyen respuesta automática a los intentos de ataque y bloqueo desde el momento en que se detecta un patrón distinto al habitual por usuario interno o externo.