• Felipe Labbé

CIBERSEGURIDAD


En días pasados se llevó a cabo la primera reunión del Foro Soluciones Telcel 2017 en el centro Banamex de la CDMX con el tema: IoT Cyber Security, en donde participaron expertos en la materia del sector público, financiero, corporativo y educativo, entre otros. Los puntos más destacados del evento, con un enfoque que realicé, específico para el CEO, se los comparto a continuación:

1.- La Ciberseguridad de la organización debe ser una prioridad del negocio, a cargo del CEO, y no delegar esta responsabilidad solo en el área de TI, ya que puede ser la operación completa o al menos áreas estratégicas de la empresa, las que están en riesgo. Mientras más preparada esté la organización para prevenir o recuperarse rápidamente de un ciber ataque, mejor estará protegido todo el negocio.

Desafortunadamente hoy se pueden mencionar miles de ejemplos de ciber ataques, pero solo comentaré los 3 más recientes, para ejemplificar esta problemática:

  1. WannaCry (dicen que lo inventó un mexicano, porque su traducción literal es: ¡Quiere llorar!) afecto a miles de empresas en todo el mundo incluyendo entidades estratégicas de salud, energía y finanzas, entre otras.

  2. El reciente ataque del virus de ransomware “Petya” dejó fuera de operación durante varios días al gigante de la publicidad británico, WPP, comprometiendo información de sus clientes, de la empresa y al negocio en general.

  3. Hace unos días a HBO le robaron 1.5 terabytes de información que incluía varios capítulos de la nueva temporada de una de sus series más exitosas, Game of Thrones. Algunos de estos ya fueron liberados por los hackers, antes que por la empresa, lo que representó costos multimillonarios. Hay que recordar que Sony Entertainment sufrió un ataque similar en 2014, que muchos expertos atribuyeron al gobierno de Corea del Norte, donde le robaron varias películas sin estrenar. Esto le costó el puesto a su Presidenta Ejecutiva.

2.- Todas las empresas, gobiernos y organizaciones de cualquier tipo, en todo el mundo, deben de estar preparadas para contrarrestar ataques cibernéticos, de manera proactiva y planeada y no solo en la forma tradicional, como se ha venido haciendo en el pasado. Los piratas informáticos cada día son más sofisticados, ya no son personas en busca de fama y algo de dinero, sino que pueden ser Gobiernos, grupos de delincuencia organizada, terroristas, partidos políticos o entidades muy poderosas las que llevan a cabo estos ataques. En el caso de México los riesgos son altos y los planes de prevención escasos. A las pocas horas de haberse liberado WannaCry, México era el país más atacado de toda Latinoamérica, superando incluso a Brasil.

3.- La primera parte de un plan de ciberseguridad consiste en concientizar y preparar a todos los empleados, y muy particularmente a los principales ejecutivos de la organización, acerca de los riesgos y la forma de prevenirlos. Esto requiere un plan formal de comunicación, capacitación y procedimientos, soportado por la Dirección General, para que todos los empleados participen. Por supuesto debe haber apoyo directo para el área de TI a efecto de contar con la tecnología adecuada que ayude a proteger la infraestructura, las redes y todos los dispositivos de cómputo.

Las puertas de entrada de un ciberataque no están solo en la red corporativa o en el centro de datos o en la nube, sino que pueden estar en cualquier dispositivo de la empresa.

4.- Hoy prácticamente nadie está exento de un ciberataque. Las estadísticas nos hablan que 1 de cada 3 ciudadanos es atacado de manera continua para robar su identidad. Algo similar pasa en las organizaciones, donde la principal forma de entrada de un ataque es a través del email, ya que se calcula que 65% de los correos que recibimos son spam y 85% de este es malicioso. No significa que en todos los casos el ataque tenga éxito, pero de que lo están intentando permanentemente, no cabe duda, por lo que establecer el plan de seguridad informática es una prioridad.

5.- El IoT llevará a que miles de millones de dispositivos, máquinas, aparatos electrónicos, autos y prácticamente todas las cosas, estén conectadas todos los días. Si bien los beneficios de esto serán incuantificables, los riesgos también crecerán de manera exponencial por lo que el plan de seguridad no debe estar pensado solo para el día de hoy, sino también para los años por venir. Al menos, debe de estarse revisando y actualizando de manera continua. Esto puede percibirse como algo que nos quitará tiempo y que será muy caro, pero más caro será un ataque que nos deje fuera de operación, que nos robe información estratégica o que impacte directamente a nuestras finanzas o a nuestros clientes.

6.- Es importante mencionar que el riesgo ya no solo está en la pérdida de la información, lo cual sin duda es muy importante. Los riesgos pueden ser también que los hackers se apoderen de los sistemas de producción, de alguna consola de seguridad física o de sistemas que manejen las nóminas de los empleados, los pedidos de los clientes o las cuentas por pagar, entre otros. Por lo tanto, las repercusiones además de financieras u operativas, pueden ser legales, por posibles demandas por falta de cuidado de información de terceros, así como graves daños en la reputación de la empresa.

Concluyo diciendo que acorde con la mayoría de los analistas de la industria, los riesgos de ciberseguridad tienden a crecer de manera importante, por lo que siempre será mejor prevenir que lamentar.

#EraDigital #InternetDeLasCosas #TransformaciónDigital

Felipe Labbé

Consultor en estrategia de negocios y transformación digital. 

Más sobre mí