Pedro Huichalaf Roa.
¿El panorama de seguridad en las organizaciones cambió con la pandemia?
La pandemia afectó no tan solo a personas, sino también a las empresas, e instituciones públicas y privadas. Como factor multiplicador de la transformación digital, genera desafíos no tan solo en la nueva forma de relacionarnos, sino que también en la manera en que se custodia los activos más relevantes de una organización. La seguridad de la información ha cobrado una relevancia fundamental en un mundo hiperconectado. Si antes las compañías invertían en seguridad física, hoy es impensado no hacerlo en el ámbito digital.
¿Qué nuevos retos de seguridad enfrentan hoy las empresas?
Los cambios de hábitos, tanto en el ámbito familiar como laboral, han generado desafíos a todo nivel: para los usuarios, trabajadores, directivos y organizaciones. El acceso a la información y el trabajo que antes se realizaba presencial, con el teletrabajo, la ubicuidad de las comunicaciones y accesos remotos, plantean nuevas modalidades de defensa y ciberseguridad.
Es necesario entender, por ejemplo, que los dispositivos con que accedemos remotamente (y que son entregados por la organización, como notebooks, telé- fonos, tablets, etc.), mantienen su lógica necesaria de protección y uso privativo para fines laborales, sobre todo en el uso no autorizado por terceros.
¿Existe una falsa sensación de seguridad “innata” al estar en la nube?
Muchas personas y organizaciones tienen la creencia que, si externalizan servicios basados en la nube, descansan en estos prestadores la seguridad de la información. Esto es un mito que debemos derribar. Hoy por hoy las campañas de phishing, malware y otras técnicas de ingeniería social buscan obtener credenciales, permisos de VPN, accesos y autorizaciones privilegiadas para vulnerar la seguridad. Es vital considerar estos nuevos retos y generar una cultura de educación de seguridad que debe acompañar a la nube.
¿Cuáles son esos mitos comunes en torno a los desafíos a la seguridad cloud?
Tal como indicábamos, una creencia es que la seguridad de la nube es de responsabilidad exclusiva del proveedor del servicio y que no es necesario tener mayores medidas propias. Por otro lado, pensar que los servicios de respaldo virtuales son los únicos necesarios ante el resguardo de la información, sobre todo más sensible, para una organización.
Al mismo tiempo, no estar atentos a las alertas de seguridad, a aplicar los parches correspondientes apenas son informados y no estar atentos al ecosistema digital, son otros de los errores que encontramos en muchas empresas.
¿Cuáles son las principales amenazas? ¿Hay mayor complejidad v/s entornos tradicionales?
Las principales amenazas son mantener un control de los accesos a la información, niveles de usuarios y privilegios de acceso a carpetas o contenidos relativos al trabajo puntual del funcionario.
Existe el reto de control ya no tan solo frente a personas, sino de dispositivos, software o intentos de acceso no autorizados a la información de la organización. Es relevante identificar los riesgos asociados a este nuevo entorno digital en el que interactúan diversos actores. La complejidad se basa en identificarlos y tener medidas de prevención, pero también medidas de reacción frente a las amenazas.
Otro punto a considerar, y que es importante, es saber justamente dónde se encuentra la infraestructura cloud, legislación aplicable, posibilidad de transferencia internacional de datos y tener una mirada geopolítica de las compañías.
¿Hoy la nube está más en la mira de los ciberdelincuentes?
Como ha sido un servicio que se ha masificado y multiplicado, obviamente es objeto de atención de ciberdelincuentes, sobre todo porque empresas cloud prestan servicios a múltiples organizaciones, por lo que una brecha de seguridad puede comprometer múltiples objetivos.
¿Qué tanto se han preparado las compañías para lidiar con las amenazas a la infraestructura cloud?
La legislación en ciberseguridad y protección de seguridad e infraestructura cloud avanza en forma más lenta que los requerimientos de mercado y de clientes, pero van en la misma dirección.
Un desafío de las nuevas empresas que prestan estos servicios, especialmente cuando surgen a nivel nacional, es tener en consideración los estándares internacionales aplicables en su modelo de negocios.
¿Por dónde falta avanzar en protección de este tipo de entornos?
Muchas empresas cloud deben cumplir con normativas especiales de protección, resguardo de infraestructura crítica, certificaciones ISO de seguridad de la información y medidas preventivas y de reacción frente a ataques de ciberseguridad. Contar con capacidad y capital humano especializado también debe ser una medida para avanzar en la protección de estos entornos.
¿Qué enfoque recomendaría adoptar?
Es importante también que exista una normativa marco de ciberseguridad, que establezca estándares o niveles mínimos de continuidad de servicios. Al mismo tiempo, debe existir cooperación en la detección, identificación y prevención de brechas de seguridad que pueden afectar a un ecosistema digital.
¿Cuáles son los consejos para mantener servicios en la nube en forma segura?
Primero, no solo considerar el factor económico y costos, sino el estraté- gico y de continuidad de servicios. Es importante mantener una cultura de ciberseguridad y educación de seguridad de la información a nivel de todos los usuarios del entorno. Es relevante buscar soluciones seguras y que den garantías de esta protección. También es importante pensar los peores escenarios para tener planes de contingencia, de restablecimientos de servicios y de respaldos necesarios.
Pedro Huichalaf Roa es Abogado de la Universidad de Valparaíso, Magíster (c) en Derecho Informático y de las Telecomunicaciones de la Universidad de Chile, y Especializado en Telecomunicaciones y Tecnologías de Información y Comunicaciones.
Desde marzo de 2014 a octubre de 2016 fue Subsecretario de Telecomunicaciones de Chile. Actualmente es Consultor nacional e Internacional en tecnologías, telecomunicaciones e innovación y Docente e Investigador del Centro de Investigación en Ciberseguridad de la Universidad Mayor.
