En el tercer encuentro One2One organizado por eBIZ se resaltó que la ciberseguridad es un problema tecnológico agravado por los recursos humanos y sin una formación adecuada del uso de las herramientas las consecuencias pueden ser calamitosas. Además, se debe cuidar no solo al propio grupo empresarial, sino a los proveedores.
En la última década, las empresas de todo el mundo han elevado el uso de aplicaciones en la nube. Según Gartner, se espera que el 65% de las cargas de trabajo de las aplicaciones estén listas para la nube en 2027, frente al 45% que había el 2022. De hecho, la encuesta Cloud-Native Security de Palo Alto Networks (PANW) ha revelado que la frecuencia de despliegue de aplicaciones en la nube ha aumentado un 67% en los últimos doce meses. Además, el 80% de las exposiciones de seguridad se producen en la nube, en comparación con el 19% que se da en los servidores locales, según el informe 2023 Attack Surface Threat Report de Unit 42, la unidad de inteligencia e investigación de PANW.
El informe de Unit 42 analizó la superficie de ataque de las empresas y calculó la proporción media de exposiciones de alto riesgo alojadas en la nube para cada sector. Transporte y logística encabezaba la lista con un 85%, seguido de Seguros (64%), Servicios Financieros (60%) y Alta Tecnología (50).
¿Qué se puede hacer ante esta realidad? ¿De qué o quiénes depende atender estos riesgos en una organización? ¿Son los riesgos internos o externos? Como aliado estratégico en las relaciones entre las empresas y sus proveedores, eBIZ organizó su tercer One2One centrado en elevar la concientización sobre la importancia que tiene cuidar la ciberseguridad en las empresas, específicamente dentro de los procesos de la cadena de suministro.
Rafael Bocanegra, gerente corporativo de seguridad de Excellia (Grupo Romero), resaltó durante el evento que para una corporación es esencial elegir aliados estratégicos que cumplan con las políticas corporativas y tener diferentes controles de seguridad que se revisen de forma permanente. Así mismo, se requiere contar con canales de comunicación directos para evaluar una respuesta conjunta y cooperar en las acciones que se deben tomar.
Sin embargo, no basta con las herramientas tecnológicas. “Nada es suficiente si no trabajamos con las personas. Porque hay muchas estrategias de ingeniería social circulando”, anotó Giovanni Pichling, gerente de operaciones de la Asociación de Bancos del Perú (ASBANC).
Coincidió Marianella Cabanillas, gerente general de Corporación Enerjet, quien aseguró que el factor humano de cada organización juega un rol sustancial en la protección ante ataques externos. La tecnología, remarcó, es una parte de la estrategia para defenderse de ciberataques, pero implica implementar una metodología y como tal, conlleva la acción de muchas personas, que deben ser conscientes de los riesgos.
“Desde el momento que tenemos en la mano un celular debemos ser conscientes de los efectos que se pueden generar en toda la seguridad de la organización”, dijo. Entonces, añadió, el reto es trabajar mucho al interior de la organización y capacitar a los trabajadores para que puedan entender el nivel de responsabilidad que tiene cada uno de ellos dentro de la empresa. “Y como su conducta, lo que hacen o dejan de hacer, repercute en la organización”, remarcó.
Todos a una
¿Qué sucede cuando estamos ante una corporación integrada por varias empresas y una no tiene implementadas todas las medidas de seguridad? ¿Qué se hace para garantizar la continuidad del negocio ante el ataque a una de las integrantes del grupo o la falla de algunos de los colaboradores?, planteó a los expositores el moderador del conversatorio, Erick Iriarte, CEO de eBIZ.
Rafael Bocanegra, del grupo Romero, comentó que en una corporación el error de una afecta a todas y puede poner en riesgo la continuidad del negocio. “Si uno no cumple con las reglas del juego, tenemos un serio problema”, alertó.
En el grupo, comentó a manera de ejemplo, se viene trabajando mucho en el Gobierno Corporativo y se ha establecido una serie de estrategia para que todas las empresas del grupo estén alineadas y pasen todos los controles. “No es negociable no hacerlo”, enfatizó.
Ayuda mucho el trabajo en equipo, bajo supervisión del directorio, para implementar las estrategias y políticas de seguridad, explicó. La estrategia se define en base a lo que la arquitectura de ciberseguridad puede o no hacer y se realizan mediciones permanentes de los indicadores para evitar que se transformen en riesgos.
En el grupo se ha optado por fomentar una sana competencia. Todas las empresas tienen que cumplir con los indicadores y competencias de ciberseguridad de acuerdo con la media mínima corporativa establecida. Es su responsabilidad poner su parte para no contaminar al resto ni poner en riesgo a los demás. A fines de mes y trimestralmente se evalúa ante el directorio el cumplimiento. “Si alguien está en un bajo nivel, entre todos vemos cómo lo vamos a ayudar a mejorar”, remarca.