Christiam Garrat: Empresas necesitan una estrategia sólida y realista de ciberseguridad | TICAR XIII Cobertura Especial

Socio de Risk Advisory de Deloitte, speaker en TICAR XIII, invoca a las empresas del sector minero-energético a protegerse atendiendo a su nivel de digitalización. #TICARenEBIZ
NOV-10-1

Christiam Garratt, Socio de Risk Advisory de Deloitte que participará como expositor en la TICAR 2022, organizada por la SNMPE, echa luces en esta entrevista con eBIZ Noticias sobre la necesidad de diseñar una estrategia de ciberseguridad, e invoca a las empresas del sector minero-energético a protegerse atendiendo a su nivel de digitalización.

Este año ha sido particularmente escandaloso en términos de seguridad informática en el país, sobre todo en el ámbito público, con filtraciones de datos preocupantes. ¿Cuál es su mirada a lo que ha venido ocurriendo? ¿Por qué hemos tenido tantos incidentes? ¿Qué debería pasar para evitar repetir estos problemas? 

Efectivamente, el nivel de exposición a incidentes de ciberseguridad ha aumentado de manera dramática en los últimes meses. Definitivamente, el contexto de pandemia ha desnudado muchas deficiencias a nivel de las capacidades de ciberseguridad de muchas empresas tanto en el ámbito privado como público. La adopción masiva de nuevas tecnologías para trabajo remoto y servicios cloud ha generado una ampliación de la superficie de ataque a proteger por parte de las empresas, y muchas veces las capacidades internas del negocio para proteger toda esa infraestructura no es suficiente. Para evitar que estas situaciones se repitan, es importante que las empresas tengan claridad sobre su nivel de madurez actual en ciberseguridad y contar con una estrategia sólida y realista que les permita desarrollar las capacidades requeridas para contar con una mejor visibilidad y protección de sus activos críticos de negocio.

¿Cómo debe ser la política de ciberseguridad del país y de las empresas peruanas? 

A nivel de país se debe tener claridad sobre la infraestructura crítica nacional que debe ser protegida y contar con todos los actores y sectores involucrados dentro de esta estrategia nacional. Si bien esta iniciativa ya existe a nivel local impulsada por distintos gremios y asociaciones gubernamentales, muchas veces existen factores políticos y económicos que dificultan su implementación.

Christiam Garrat será el speaker del segundo bloque del XIII TICAR: CIBERSEGURIDAD. Consulta el programa completo haciendo clic aquí

¿Cómo perciben y cuidan la seguridad informática las empresas mineras, energéticas y de hidrocarburos? ¿Qué prácticas ya tienen interiorizadas y aplicadas? ¿Qué les falta? 

El sector todavía tiene un camino importante por recorrer en temas relacionados con ciberseguridad. La relevancia del entorno industrial y la infraestructura OT / IoT genera una complejidad aún mayor para los responsables de ciberseguridad de estas empresas, ya que requieren una estrategia de ciberseguridad que contemple el entorno empresarial y el entorno industrial, así como gestionar la convergencia IT/OT que debe existir en vuestro sector. Para lograr este objetivo es vital tener el apoyo de la Alta Dirección como sponsor de estas iniciativas y que tenga viabilidad a nivel de las diversas unidades de negocio dentro de la organización.

«La adopción masiva de nuevas tecnologías para trabajo remoto y servicios cloud ha generado una ampliación de la superficie de ataque a proteger por parte de las empresas, y muchas veces las capacidades internas del negocio para proteger toda esa infraestructura no es suficiente»

¿Qué tanta relevancia tiene aplicar auditorias de seguridad en este sector? En banca es habitual contratar hacking ético, ¿en minería también hay quienes recurren a ello? ¿deberían? 

Las auditorías son importantes para tener un tercero independiente que pueda evaluar con una visión diferente, y basada en buenas prácticas de industria, la gestión de ciberseguridad que estamos realizando y poder de esta manera identificar vulnerabilidades y oportunidades de mejora que muchas veces, al estar dentro de la operación, no tenemos capacidad de identificar. Nuestra recomendación es que siempre se tenga un externo que pueda realizar evaluaciones periódicas de ciberseguridad, no solo a través de servicios de Ethical Hacking o Vulnerabilidades, sino que pueda evaluar toda nuestra gestión y tomar lecciones aprendidas.

¿Cuál debería ser el plan de acción y el decálogo por aplicar en el sector? 

Como mencionaba anteriormente, es importante que las empresas del sector tengan claridad sobre la superficie IT/OT que deben proteger y desarrollar capacidades de protección, detección y respuesta para su aseguramiento. Para poder determinar el nivel de inversión y control que se debe implementar se debe hacer una evaluación de las capacidades actuales y futuras deseadas tratando de encontrar ese balance entre costo/beneficio y valor para el negocio. Las alternativas de servicios y tecnologías disponibles en el mercado son amplias, sin embargo, la clave es encontrar aquellas que coincidan con nuestra visión, estrategia y cumpla las expectativas trazadas por el negocio.

«(E)s vital tener el apoyo de la Alta Dirección como sponsor de estas iniciativas (de ciberseguridad)»

ÚLTIMAS NOTICIAS

NOTICIAS RELACIONADAS

“En 180 días hábiles la Secretaría debe emitir los protocolos” – Alain Dongo, exsecretario de Gobierno y Transformación Digital | Especial Rgto. de la Ley de Ciberdefensa: Los siguientes pasos

Desde la Secretaría de Gobierno y Transformación Digital (SGTD) aseguran que, a la fecha, más de 640 entidades públicas hayan designado su Oficial de Seguridad y Confianza Digital (OSCD), lo cual ayuda a contar con una red de confianza digital para intercambiar datos e información sobre incidentes de seguridad digital en el Estado.