[wp_bannerize group=”CHUBBconecta”]
- La mayoría de las empresas en México invierte en ciberseguridad por cumplimiento, pero no para disminuir el riesgo, advierte Juan Carlos Carrillo, especialista de la firma consultora
- Las empresas que operan en el país no cuentan con un plan para mitigar un ataque cibernético
- Más de un millón de dólares es lo que le cuesta a una compañía en México solventar un ataque de este tipo
Por: Marcos Medina
@MmedinaMarcos
Pese a que un gran número de compañías de todas las industrias del país ha hecho importantes inversiones para transformarse digitalmente, 87 por ciento de ellas reconoce haber sido víctimas de un ataque cibernético, afirmó Juan Carlos Carrillo, director de Seguridad y Privacidad de PwC (PricewaterhouseCoopers).
En el desarrollo de las pláticas marco del Segundo Seminario de Instituciones de Seguros, organizado por IDC México y la Asociación Mexicana de Instituciones de Seguros (AMIS), Carrillo advirtió que la mayoría de las empresas en México invierte en ciberseguridad por cumplimiento, pero no para disminuir el riesgo.
“La inversión que hacen las compañías solo es para cumplir con la legislación. Las empresas deben sincerarse y asumir que no se encuentran realmente protegidas; por ende, los riesgos no están disminuyendo. En lo que se refiere a ciberseguridad, no fracasas si te hackean; fallas si no tienes un plan para responder a la amenaza. Recuerden que el cibercrimen es un negocio muy jugoso”, explicó.
El cibercrimen, advirtió el experto en seguridad, crece a pasos agigantados y actualmente es más rentable que otros actos delictivos. Lo ejemplificó de esta manera: mientras que el tráfico de cocaína está valorado en 85,000 millones de dólares anuales, los ataques cibernéticos generan ganancias que ascienden a los 400,000 millones de dólares al año.
“Para entrar al negocio de la mafia, necesitas conformar una organización y diseñar una logística en la cual debes incluir armamento, vehículos y sicarios. En el cibercrimen, los delincuentes solo necesitan una computadora y mucha paciencia. Para colmo de males, en muchas ocasiones el enemigo está dentro de las instituciones, es decir, no es externo. Según estadísticas, en México, 44 por ciento de las empresas atribuyen los incidentes de violación de la seguridad a exempleados”, especificó.
El directivo de PwC señaló que el cliché de “a mí no me sucederá” se ha convertido en una excusa para un porcentaje alto de compañías que no han visto que la seguridad de la información se convierte en parte de lo que muchas empresas están ofreciendo para asegurar la confianza del cliente y el éxito de las operaciones.
“Los ataques cibernéticos están a la orden del día. Es inocultable que las organizaciones en México enfrentan severos problemas en ciberseguridad, por lo que tienen que invertir; sin embargo, para muchos directivos este aspecto no es prioridad. “No sé” y “no sabía” son las respuestas que más se emplean cuando las organizaciones son víctimas de estos criminales digitales”, explicó.
Según datos de PwC, el país más avanzado en ciberseguridad es Estados Unidos; no obstante, en 2006 se perpetraron allá 5,000 ataques cibernéticos, mientras que en 2014 fueron blanco de 67,000 ataques dirigidos.
“Ninguno de esos ataques fue detectado por un antivirus o por una herramienta de prevención contra intrusos. En ciberseguridad todo es una suma de esfuerzos; o sea, contar con protocolos de seguridad no nos exime de un ataque, pero nos permite minimizar el tamaño del daño. Lamentablemente, solo 6 por ciento de las empresas utilizan datos para analizar los ataques cibernéticos. Es un tema neurálgico; empero, las empresas se basan en corazonadas para afrontar este tipo de riesgos”, profundizó.
Desde la perspectiva del director de Seguridad y Privacidad de PwC, lo importante en materia de ataques cibernéticos no es determinar si la organización es vulnerable ante una violación de su seguridad, sino saber qué hacer cuando ocurre este tipo de eventos. Alertó que más de un millón de dólares es lo que le cuesta a una compañía en el país solventar un ataque cibernético.
Mucho más que un cambio de mentalidad
Carrillo argumentó su discurso basándose en la Global State of Information Security Survey 2017, encuesta desarrollada por PwC en la que participaron 10,000 ejecutivos y directores de tecnología en más de 130 países. En tal sentido, señaló que, aunque la brecha de protección en materia de ciberseguridad aún es enorme, existe un cambio en el pensamiento organizacional de muchas compañías como consecuencia de la digitalización de los modelos de negocio.
Juan Carlos Carrillo precisó que, a medida que más productos y servicios se conectan a internet, la necesidad de abordar de forma proactiva la ciberseguridad también aumenta. Por tal causa, las organizaciones con visión de futuro están requiriendo un nuevo modelo de seguridad digital que sea ágil, capaz de actuar en insumos analíticos y adaptable a la evolución de los riesgos.
Frente a este nuevo enfoque empresarial, el expositor puntualizó que las compañías dirigen sus inversiones hacia soluciones como el análisis de datos, monitoreo en tiempo real, servicios de seguridad administrados, autentificación y software de código abierto.
El especialista de PwC reveló que en México 3.87 por ciento del presupuesto de tecnologías de la información es asignado a ciberseguridad, por lo cual el país se encuentra en un estado inmaduro en lo que se refiere a seguridad de la información, puesto que las inversiones en sistemas son insuficientes, y ello ocasiona que exista un número creciente de víctimas.
“En ciberseguridad de poco sirve simplemente tapar hoyos, pues de esa manera no detectamos la verdadera fisura de nuestros sistemas de información. El cumplimiento de la ley no está mal, pero es un aspecto que no satisface las verdaderas necesidades de seguridad. Es necesario, mas no suficiente. La estrategia debería apuntar a disminuir el riesgo, aumentar el cumplimiento y tener un mejor gobierno”, precisó.
Obligados a despertar
De acuerdo con PwC, el procesamiento tecnológico de la información ha registrado grandes cambios, lo que ha generado un sinfín de ventajas a los gobiernos, organizaciones, así como a usuarios que desarrollan, poseen, proporcionan y administran estos servicios; por ello, se vuelve imperativo que los involucrados pongan mayor atención en los aspectos relacionados con la ciberseguridad.
Juan Carlos Carrillo aseguró que, frente a esta coyuntura, para poder alcanzar la velocidad con la que operan los delincuentes cibernéticos urge que las organizaciones despierten, puesto que la inversión que realizan es insuficiente.
Por último, dijo que las empresas tienen que ser conscientes de los riesgos existentes en materia de seguridad de la información, por lo cual recomendó diseñar medidas preventivas oportunas, y subrayó que en México es vital desarrollar una cultura de prevención para que todos los involucrados promuevan el crecimiento de la ciberseguridad como un objetivo importante y cotidiano.
“No veamos la seguridad de la información como una meta que tiene fecha de cumplimiento. Es un tema de actualización constante, porque lamentablemente los ataques cibernéticos, en lugar de disminuir, se incrementarán cada día”, finalizó.