El mes pasado el país se quedó conmocionado cuando la prensa informó de dos casos de filtración de datos personales de gran envergadura. Primero fue la base de datos de los residentes del distrito de Miraflores y luego, los clientes de Interbank. Para los expertos en ciberseguridad, ambos casos han mostrado a los ciudadanos que falta reforzar la cultura de seguridad informática en las empresas y entidades públicas, lo cual implica dejar de ver el tema como un gasto para valorarlo como una inversión.
«La seguridad es tarea y responsabilidad de todos. Empezando por quien aprueba el presupuesto de seguridad, que cree se trata de un gasto innecesario y no es así. Es mejor tener protección que no tenerla. Más caro es que te ataquen», afirmó categórica Guicela Gavidia R., catedrática de Centrum PUCP, durante su presentación en el evento online ¿Cómo manejar las Ciber amenazas? de CaféIT.
Cuando se da una filtración, no solo se pierde dinero al pagar a un extorsionador, de ser el caso, o por todo el tiempo que los sistemas están inoperativos, sino por la pérdida de confianza en la institución que origina la partida de clientes y la baja en el valor de las acciones de la empresa, detalló Gavidia. En el caso de las instituciones financieras, al dañarse la credibilidad se da lugar al pánico financiero, que es muy peligroso para la institución, acotó.
En estos casos no se puede culpar solo al gerente de tecnología, porque las decisiones en inversión dependen de la gerencia financiera y el director general que no logran entender la importancia del tema, añadió Gavidia. También está la responsabilidad del área de recursos humanos, que debe preparar al personal que atiende al público para actuar en este tipo de eventos, anotó.
Plan de acción
«Los gerentes de riesgo saben que un ciberataque es posible y deben tener equipos con la capacitación adecuada para enfrentar estos problemas y brindar el mensaje adecuado. Creo que en el caso de la municipalidad hubo un problema de transparencia, de enfrentar la realidad y aceptar lo sucedido. No se trata de culpar a los periodistas [que difundieron la noticia], cuando la falla era interna», señaló José Salazar A., consultor en comunicación en crisis y director de Proel.
«En el caso de Interbank fue la tormenta perfecta. Una crisis en donde se mezcló la incertidumbre del cliente con la falta de una respuesta rápida de la empresa, para explicarles lo que pasaba. Hubo un vacío de información que generó pánico financiero y memes. Esa mezcla es muy peligrosa. Lo único que queda es salir y responder rápido», añadió Salazar.
Según el director de Proel, es indispensable contar con un plan de comunicación de crisis unido al plan de respuesta ante un ciberataque. La información debe fluir rápido, de forma entendible y ser lo más transparente posible. Para eso se debe capacitar a los equipos en cómo reaccionar a través de los distintos canales de comunicación. «Fue bueno que saliera el gerente a dar la cara, pero demoró mucho. Además, le faltaron respuestas, como por ejemplo explicar quienes exactamente estaban afectados», remarcó.
La ciberseguridad no es un gasto, es una inversión que se debe hacer y eso implica desde capacitar al personal para saber actuar en una emergencia hasta comprar las herramientas inteligentes necesarias para prevenir los efectos adversos cuando se es víctima de un ataque, anotó Luis Guembes Saba, consultor de ciberseguridad.
Guembes remarcó que la única forma viable para estar preparados hoy en día es tener un plan estratégico integral y apuntar hacia la «observabilidad total». Un concepto que implica usar inteligencia artificial (IA) para transferir los controles externos de seguridad [las puertas y ventanas] a las computadoras, alejándolos de la intervención humana. «Por velocidad de respuesta, los sistemas tradicionales no van a funcionar. Tener un antivirus, un antispam, como cosas separadas, sin orquestación, no va a funcionar. Lo único que realmente puede integrar la información de esos sistemas y producir acciones pre-programadas es la IA», acotó.
Es indispensable contar con un plan de comunicación de crisis unido al plan de respuesta ante un ciberataque. La información debe fluir rápido, de forma entendible y ser lo más transparente posible.
José Salazar A., consultor en comunicación en crisis y director de Proel
Errores humanos
Ataques como el sufrido por Interbank no son espontáneos, como cree la mayoría, pero suceden a diario y requieren una respuesta rápida que debe estar prevista en el plan estratégico, explicó Guembes Saba. Implican un proceso de larga maduración, incluyendo comprar reportes de brechas de seguridad y herramientas de hackeo a bajo costo que se introducen al sistema de forma silenciosa valiéndose de algún error humano. Los delincuentes trabajan mucho tiempo hasta encontrar un «hueco» por donde entrar al sistema. La incubación puede durar meses o años, enfatizó.
El problema no es puramente tecnológico, añadió el Dr. Erick Iriarte Ahon, CEO de eBIZ. El enfoque del plan debe ser de continuidad de negocios observando el factor humano a todo nivel de la empresa, porque la brecha más común suele estar ahí. Si bien el tema regulatorio es relevante, no basta con tener buenas reglas si al interior de la organización no se crea una cultura de ciberseguridad, enfatizó.
«El problema no son los textos normativos. Podemos tener normas a la altura de Suiza, del primer mundo. El problema es el cumplimiento. ¿Cuántos expertos en ciberseguridad faltan en el país? ¿50,000? ¿Cuántos se están formando hoy entre maestría, pregrado y posgrado? 300 por año. 400, exagerando. Es muy poco considerando que estos casos no son algo exótico, sino una realidad para la que deben estar preparados tanto los organismos públicos como privados», señaló Iriarte.
