Marcelo Zanotti.
¿Qué tan importante es para las compañías el tema de la ciberseguridad?
De acuerdo al estudio, este es un tema relativamente nuevo para las compañías, ya que recién se están percatando de que cualquier empresa es blanco de ataque y no solo las del rubro financiero o de gobierno como se pensaba antes. En esto ha influido la serie de casos de reconocidas multinacionales estadounidenses que han saltado a la palestra, como por ejemplo tres empresas de retail, a las cuales les robaron sus bases de datos de clientes, o Sony, que fue atacada por un grupo de hackers en represalia por la producción de su película “The Interview”, cuya trama aborda el presunto asesinato del líder de Corea del Norte, lo cual desató un conflicto político entre Estados Unidos y el país asiático. En este sentido, como hoy está todo conectado y existe una abismante dependencia a la tecnología, se dice que en diez años más las guerras serán virtuales. Es más, aunque no está cien por ciento confirmado, ya se habla de la creación de un ciberejército en China.
¿Cuál es la diferencia entre un hacker y un delincuente informático?
El hacker ataca generalmente a empresas de gran renombre para divertirse, vanagloriarse o simplemente para demostrar que cualquier sistema es vulnerable, mientras que el delincuente informático hace lo mismo, pero siempre obteniendo un beneficio económico del ataque. Es decir, aparte de dar de baja los sistemas, roba la base de tarjetas de crédito para clonarlas o cualquier tipo de información que le parezca confidencial para venderla.
¿En qué consisten las tres “A” que se mencionan en el estudio?
EY establece que el camino hacia la madurez de la ciberseguridad está compuesto por tres “A”: Activarse: El estado inicial de la madurez hacia la ciberseguridad. Significa que la organización activa sus mecanismos de seguridad y comienza a defender sus activos más importantes con un enfoque más bien estático.
Adaptarse: Este es el siguiente grado de madurez. Las organizaciones entienden que el entorno es cambiante, entonces el enfoque de seguridad es más dinámico. La seguridad de la información necesita estar constantemente actualizándose porque las amenazas van cambiando. Anticiparse: Es el último estado de madurez, en donde la organización ya posee un enfoque que le permite anticiparse a las amenazas. Entienden el entorno actual, pero también están visualizando el futuro. La mayoría de las empresas consultadas se encuentra en la primera clasificación, lo cual indica que reaccionan después de sufrir un incidente. Entre un 35% y un 45% se autocalifica en la categoría “mucho por mejorar”.
¿A qué se debe que no exista una cultura de protección de la información?
Definitivamente a que los responsables de seguridad no logran transmitir esa preocupación al directorio de las compañías, y estas, a su vez, se autocalifican de “débiles” y de “incapaces” de enfrentar el tema. Muchas veces estos profesionales tienden a ser muy técnicos en el lenguaje que utilizan y no saben expresarse de forma fácil y simple. La estrategia de seguridad de la información TI de una organización debe estar alineada a la estrategia del negocio. El error más común del CISO es ir detrás del negocio. En segundo lugar, el presupuesto que destinan las compañías a temas de ciberseguridad es muy bajo, puesto que lo siguen viendo como un gasto y no como una inversión. De hecho, una vez que se enfrentan a un ataque de este tipo se percatan de las consecuencias y toman las medidas respectivas.
¿Cuáles son los retos en esta materia?
En primer lugar, seguir concientizando al usuario para que proteja su información, pues estoy seguro de que la mayoría de los ataques cibernéticos pasan por descuidos del propio usuario o porque no hay cultura de protección de la información. Y la otra preocupación que están teniendo las organizaciones tiene que ver con la nube, en donde el desafío es que los proveedores de servicio garanticen la seguridad que las compañías necesitan. Hay que entender todo el ecosistema por donde viaja o se aloja la información de nuestra compañía.
A nivel regional, ¿cómo ve a Chile en el tema de ciberseguridad?
Creo que falta mayor preocupación por parte de las empresas y las entidades gubernamentales, ya que la legislación sobre el tema de protección de datos es débil. Chile fue uno de los países pioneros en Latinoamérica en legislar sobre la protección de datos personales en 1999. Sin embargo, los avances tecnológicos la han dejado obsoleta y en 2012 el Gobierno ingresó al Congreso un nuevo proyecto de ley sobre datos personales. Esto indudablemente habla de una falta de conciencia en Chile, pero no de recursos, puesto que, a nivel regional, Chile goza de condiciones de crecimiento y estabilidad que no tienen los países vecinos.
¿Es fundamental que las empresas cuenten con un SOC?
Sí, pero el centro de operaciones de seguridad (SOC) se está recién posicionando a nivel mundial y las empresas que ya cuentan con el servicio estiman que no es capaz de detectar a tiempo una brecha de seguridad. Esto sucede en alguna medida por la falta de talentos, ya que a pesar de que se cuente con un sistema robusto para anticiparse a las amenazas, de igual forma se requiere de la inteligencia humana. Y la combinación ideal para ello es un centro de operaciones monitoreado las 24 horas del día por profesionales altamente especializados.
