Hacia el año 2010, el mercado de seguridad informática se asociaba principalmente a la implementación de firewalls y antivirus, donde hablar de servicios o verdaderas soluciones de ciberseguridad era complejo y futurista. Poco a poco, las empresas lograron entender que esas cajas de productos de seguridad tenían un sentido más allá de la sensación de protección que otorgaba el contar con ellas.
En la experiencia de Lorenzo Espinoza, CEO & Founder de NLT Networks, “cuando salimos al mercado en 2010, dijimos ‘vamos a ser una compañía de ciberseguridad’, pero nadie entendía. Tuvimos que presentarnos como vendedores de cajas de seguridad para que comprendieran qué hacíamos y muchas veces vimos que los clientes guardaban estas cajas, pero las compraban porque era mejor tenerlas por si en algún minuto se necesitaban”.
Hoy, la industria de ciberseguridad está en un proceso de maduración, donde las “cajas”, entendidas como hardware y software de seguridad, son imprescindibles para otorgar un nivel básico de protección. Pero contar con todos estos dispositivos es solo el punto de inicio, y la madurez debe verse reflejada en un nivel superior pues, como indica Miguel Pérez, CEO de NovaRed, si los dispositivos no están seteados, si no se miran y analizan los logs, si la empresa no se detiene a ver lo que está pasando, las cajas no sirven de mucho.
Lorenzo Espinoza, NLT NETWORKS. Miguel Pérez, NOVARED. Ricardo Spencer, MAINSOFT. Walter Montenegro, CISCO. Cristian Cabezas, DIMENSION DATA. Edward Cook, BUSINESS CONTINUITY. Pedro Oyarzún, EGS.CL. Lukas Alarcón, FORCEPOINT. Fabián Vega, TREND MICRO. Nicolás Farrú, PALO ALTO NETWORKS. José Uzcategui, SOLUCIONES ORIÓN. Juan Pablo Rotella, ASSERTIVA. Francisco Fernández, AVANTIC. Cristián Berríos, CSIRT.
“Hay que avanzar en este grado de madurez, e ir viendo lo que realmente está pasando; seguir en tiempo real lo que ocurre en materias de seguridad, para poder reaccionar. Después viene el tema de reporte de incidentes y más arriba todavía viene cómo vas a prevenir todo eso. Es por ello por lo que nosotros como proveedores, que nos hemos abierto un espacio vendiendo dispositivos, debemos ir creciendo más en servicios de ciberseguridad, donde las cajas pasan a ser genéricas y el valor está en toda la inteligencia que debe ir sobre ellas”, agrega el ejecutivo de NovaRed. “Las ciberamenazas están latentes, y las empresas y sus directorios están tomando conciencia de que es un tema que requiere foco y presupuesto. Y pese a los avances, aún existen aspectos a abordar”, añade Ricardo Spencer, Gerente Comercial de Mainsoft.
De la palabra a la acción
El bullado incidente del Banco de Chile que se conoció durante 2018 marcó un antes y un después en ciberseguridad. El tema comenzó a ganar relevancia entre las empresas chilenas, las que hoy están, en su gran mayoría, conscientes de la necesidad de hacer algo en materia de seguridad informática. Sin embargo, la brecha entre el discurso y la acción es aún amplia.
Para Walter Montenegro, Gerente de Ciberseguridad de Cisco Chile, esta brecha está marcada por la dificultad que existe para determinar el retorno en las inversiones en seguridad informática. “Si invierto en tecnología es porque voy a tener cierto retorno -a uno, tres o cinco años- sobre la inversión que significa implementar uno u otro elemento dentro de mi proceso tecnológico. En seguridad eso cuesta entender porque muchos lo ven como un seguro que se pasa por gasto en lugar de inversión”, explica el ejecutivo.
Es por ello por lo que, para convencer a las altas esferas de la necesidad de invertir en seguridad informática, es importante presentar los proyectos como un habilitador del negocio y no como un inhibidor, pues ello hará que los recursos se destinen a otras áreas.
“Dentro del proceso de transformación digital el negocio sigue mandando, por lo que debemos tener en cuenta que la seguridad debe ser un habilitador de procesos, de lo contrario se convierte en ‘stopper’ y va a salir de la ecuación muy rápidamente. En ese sentido, nuestro rol es tratar de que esa conciencia no sea para poner un parche, sino que sea justamente una estrategia de prevención. Con Wanna Cry las empresas sufrieron realmente, y perdieron plata, pues muchos en Chile tuvieron plantas detenidas, lo que se refleja en mucho dinero. Esas empresas hoy en día sí están con un grado de madurez más alto, porque les golpeó el bolsillo”, añade el profesional de Cisco.
Una visión similar comparte Cristian Cabezas, Director del Área de Soluciones de Dimension Data: “Como empresas de tecnología, estamos acostumbrados, por nuestro ADN, a vender herramientas tecnológicas, pero no a ayudar a nuestros clientes a construir un plan estratégico de ciberseguridad. Si le preguntas a un cliente si tiene una estrategia de respuestas ante incidentes, lo más probable es que no. La tecnología está, y sea quien sea el proveedor, todas son buenas y todas funcionan, no hay que ir a buscar más allá. Lo que sí hay que buscar es cómo ayudamos a los clientes a construir su estrategia de ciberseguridad”.
En este sentido, Edward Cook, CEO de Business Continuity, explica que hay muchas empresas que están implementando su área de transformación digital, dentro de la cual la ciberseguridad debe ir de la mano. “La estrategia de transformación digital tiene que permitir desarrollar nuevos servicios de forma segura. Por eso creo que nuestro desafío es dejar de vender la seguridad como una caja, como un seguro protector y realmente verla desde el punto de vista de cómo impacta al negocio, cómo ayuda por ejemplo un sistema de seguridad de las aplicaciones y de desarrollo seguro, todo lo cual permitirá entrar de manera mucho más rápida y ágil al mercado con estas soluciones”, agrega.
Para Pedro Oyarzún, Gerente General de Egs.cl, “es necesario entender que este tema ya está en otra mesa, ya alcanzó un nivel más elevado, lo que representa una oportunidad para todos en términos de visibilidad”.
Tecnologías disruptivas frente a la ciberseguridad
Aunque desde el año pasado se ha visto un mayor interés por abordar proyectos de ciberseguridad entre las empresas chilenas, Lukas Alarcón, Ingeniero Consultor de Forcepoint, afirma que, según datos de las aseguradoras, este avance se registró casi exclusivamente en algunas verticales.
“Diversos estudios buscan analizar cómo está Chile, y desde el año pasado se ha avanzado en algunos puntos gracias a, entre otras iniciativas, el impulso del Gobierno de tener una estrategia de ciberseguridad que de a poco va progresando. Y si bien Chile ha dado pasos en este desafío de incorporar una estrategia de ciberseguridad como parte del negocio, a juicio de las aseguradoras el avance ha sido exclusivamente en banca y retail, mientras que el resto de las industrias se mantiene al debe”, explica. Una de las verticales que aún tiene mucho trabajo por hacer es el sector industrial, donde la convergencia de redes TI y OT ayuda a reducir los costos de mantener las redes, pero, al mismo tiempo, aumenta los riesgos.
“Generalmente todos asociamos que la banca concentra las mayores inversiones por el mayor número de ataques que recibe. Pero donde hay más riesgos es en la minería, debido al espionaje industrial y la misma explotación minera, y la salud, donde no hay una normativa clara que apunte a proteger los datos de los pacientes”, comenta Fabián Vega, Director Comercial para América Latina de 8.8 y, en paralelo, Regional Account Manager para Chile de Trend Micro.
Asimismo, el profesional de Dimension Data explica que “los que más invierten son retail y banca, y justamente si se analizan como objetivo de ataques, estos mercados han ido bajando en relevancia, pues precisamente son los que más han invertido. Por lo tanto, la actividad maliciosa se mueve hacia los que menos han invertido, como minería, manufactura y salud, donde sí es imprescindible que exista una estrategia de seguridad alineada con el negocio”.
Otro desafío en materias de seguridad informática está relacionado con el rápido avance de la adopción de tecnologías cloud. Según Nicolás Farrú, Regional Sales Manager para Chile y Bolivia de Palo Alto Networks, “cada día estamos viendo más y más que cada uno de nuestros clientes está apalancándose en las tecnologías cloud de distintos proveedores para poder crecer en su negocio. Y en este nuevo mundo que es la nube es importante entender cómo la seguridad y la gente de cloud están conversando, o cómo están llevando esta estrategia de manera de considerar acciones para mitigar y disminuir las superficies de ataque que surgen en estas nueva plataformas”.
Para José Uzcategui, Líder del Área de Proyectos de Cybersecurity & Risk Intelligence de Soluciones Orión, la adopción de herramientas cloud debe ir de la mano de una estrategia de seguridad, pues al trabajar en la nube “hay una seguridad compartida que las empresas no están viendo, con lo que pierden la visibilidad de muchos vectores de ataque. Entonces, bajo el concepto de disponibilidad, de data centers y migraciones, la nube cubre ciertas necesidades, pero pierde visibilidad”.
En tanto, para Juan Pablo Rotella, Ingeniero en Sistemas de Información de Assertiva, el negocio de a poco va entendiendo que la seguridad es parte de la disrupción tecnológica. “Los clientes esperan que los productos donde ponen su información sean seguros y, efectivamente, una vez que las personas toman confianza dan sus datos sin problemas. Entonces, el daño que un incidente de seguridad puede causar a la organización y a las personas es tremendo si la empresa no toma conciencia de ello”, afirma.
Y pese a la importancia de considerar la ciberseguridad como uno de los pilares de la transformación digital cuando llega el momento de presentar un proyecto a la alta gerencia, las compañías se enfrentan al desafío de cómo hacer entender el impacto del proyecto. Como explica Francisco Fernández, Gerente General de Avantic, “lo que está ocurriendo hoy es que los altos directivos no están comprendiendo lo que puede pasar en términos del negocio. Quizás nosotros hemos cometido el error de no explicar bien eso, pero cuando se den cuenta que realmente su negocio puede verse muy afectado o destruido por este tema, recién surgirá una estrategia de alto nivel”.
Legislación, ¿motor o inhibidor?
A nivel global, muchas tecnologías han visto cómo su desarrollo y adopción se ve potenciado por las regulaciones específicas de cada país. A inicios de la década pasada, las truculentas operaciones de Enron, la energética cuya estrepitosa caí- da generó una alerta roja en los mercados financieros estadounidenses, dio paso a la ley Sarbanes Oxley, mediante la cual el gobierno local logró potenciar el uso de soluciones de Identity Management.
NovaRed intentó incursionar en este mercado sin un mayor éxito, por cuanto, a juicio de Miguel Pérez, esta tecnología era vista en Chile solo como una solución más avanzada que una planilla Excel.
“Entonces, lo que está faltando en el país para incentivar y generar una mayor conciencia, es una regulación en ciertas industrias que sea realmente efectiva.
Por ejemplo, la Ley de Protección de Datos es algo que venimos discutiendo desde hace cerca de diez años y si bien vamos por el camino correcto, creo que aquí debería haber un Instituto de Ciberseguridad, como el Incibe de España.
El valor de las regulaciones radica en que primero vamos a estar más seguros como ciudadanos y, segundo, se generarán más inversiones en las industrias críticas, donde hoy no se invierte al nivel necesario”, explica el profesional.
Cristián Berríos, Director Operacional del CSIRT, el equipo de respuesta ante incidentes de seguridad informática del Gobierno, tiene una visión positiva respecto de los avances en materias legislativas en temas de ciberseguridad.
“Hay una dificultad intrínseca en el área de regulación. Hablamos de la Ley de Delitos Informáticos, que es un problema de muchos países, pero veo con optimismo que hay muchas empresas que no están esperando una regulación para tomar medidas, lo que es bastante bueno porque, en lugar de aguardar, están ejecutando”, indica.
Una de las complejidades en materia legislativa que plantea el profesional está relacionada con el alcance de las normativas, que deben trascender más allá del tema tecnológico para considerar también el factor humano, descrito por los participantes como el eslabón más débil en una cadena que apunta a la máxima seguridad.
“Hoy día una empresa puede ser regulada, pero ¿qué pasa con los funcionarios? Si bien las compañías van a tratar de que no caigan en irregularidades, es un tema complejo. Lo bueno es que hay una agenda que, si bien puede ser criticada y cuestionada, es de bastante buena calidad. Entonces, en vez de tomar la política y cuestionarla, es mejor avanzar. Hoy la ciberseguridad está en la cabeza de todos, y ese es un impulso que hay que aprovechar”, añade el representante del Gobierno.
No obstante, si bien las políticas de Gobierno son fundamentales, la industria tiene también un desafío relacionado con la formación, no solo de los profesionales de seguridad informática, sino que también de la población en general.
“Si bien hoy se imparten carreras de ciberseguridad, estas se encuentran muy enfocadas en el conocimiento técnico del proceso, pero falta la parte valórica y psicológica de lo que es la ciberseguridad, pues, por muy técnica que sea, está basada en las personas, que son el elemento más frágil de la cadena”, añade el profesional de NLT Networks.
Entonces, en una sociedad donde hay grandes retos culturales respecto a las amenazas avanzadas, ataques de día cero, malware y phishing, el futuro parece incierto. Sin embargo, en la medida en que exista un impulso por formar profesionales no solo desde la mirada técnica, sino que también desde la mirada emocional de la ciberseguridad, será posible preparar el camino para que las nuevas generaciones tengan una mayor conciencia sobre los peligros de la red.