Tipo de cambio:

Compra: 3.223

Venta: 3.226


Año del diálogo y la reconciliación nacional
DOMINGO 22

de abril de 2018

ANÁLISIS

Cybersecurity también es negocio

Hemos sido testigos, mediante la prensa especializada, de cómo en los últimos años un gran número de empresas a escala global han sido víctimas de ataques cibernéticos. A pesar de esto, la realidad es que no son muchas las empresas que valoran lo que hoy denominamos cybersecurity o ciberseguridad.

16/7/2016


Elder Cama Socio de Consultoría de EY



Esta situación es sumamente preocupante, ya que hace a las empresas vulnerables en uno de sus activos más importantes: la información. Según nuestra encuesta global de seguridad de la información del 2015, denominada ‘Generando confianza en un mundo digital’, sorprende que se haya visto disminuido, o se mantenga igual, el presupuesto de ciberseguridad con respecto a años anteriores. Si bien en el Perú no ha ocurrido (o no ha sido de público conocimiento) un ataque cibernético de gran magnitud, el 100% de los encuestados considera que su actual esquema de seguridad de información no cubre plenamente las necesidades de su organización, y a escala global, un 88% tiene esta percepción.



Es esencial para cada tipo de negocio, independientemente de su envergadura, contar con un responsable de ciberseguridad no solo por el riesgo de sufrir robo de información, sino también por las pérdidas de dinero o crisis que podrían enfrentar al ser atacados. Sin embargo, estas inversiones se ven aplazadas en muchas ocasiones, ya que se priorizan otros factores, sin entender el enorme riesgo al que se expone una empresa tomando en cuenta las posibilidades de ser hackeadas.



Nuestra encuesta también indica que la fuente más probable de un ataque a escala global son los cárteles criminales, relegando a un segundo lugar a los propios empleados de la empresa que solían ser los primeros en esta lista. Sobre este punto, por ejemplo, mediante la prensa nos enteramos de que en México se han registrado casos de secuestro de hackers por parte de cárteles criminales, debido a que han visto que pueden aprovechar sus habilidades informáticas para contar con una nueva fuente de ingresos delictivos. Algunos expertos señalan que no sería nada extraño de que esta modalidad llegue a nuestra región antes de lo esperado.



Cuando un hacker logra penetrar los sistemas informáticos de la organización, pueden pasar semanas, meses o hasta años sin ser detectado. Una manera en la cual una empresa puede darse cuenta de que está debidamente protegida consiste en analizar los detalles del comportamiento del sistema, el cual podría volverse anómalo (podría verse reflejado en una PC lenta, tráfico de red extraño o programación extraña en los sistemas). Asimismo, son muchos los casos en los cuales se confunde un ataque con una falla operativa, debido a que no se cuenta con gente debidamente capacitada y con la experiencia y las habilidades técnicas necesarias para poder identificar un ataque a tiempo. De nuestra encuesta, a escala global, 36% de las empresas considera tener poca probabilidad de detectar un ataque sofisticado mientas que en el Perú son un 41% las empresas que se consideran en este escenario.



También es preocupante que sean pocas las empresas en el Perú que cuenten con un rol o función en el área de seguridad de información dedicada específicamente al análisis o evaluación de tecnologías emergentes.



La seguridad cibernética tiene un alcance que contempla temas más allá de la tecnología, por lo cual no puede mantenerse solamente en el dominio de las áreas de tecnología y sistemas de información. Tampoco puede ser responsabilidad de un miembro del directorio, ya que afecta a los diferentes niveles de la compañía, con diferentes escalas de complejidad. Si esto es claro, entonces, ¿cuáles son los principales motivos que dificultan la efectividad de la seguridad de la información? A escala global, un 62% establece que son las restricciones presupuestarias y un 57% la falta de recursos especializados, mientras que, en el Perú, los encuestados indican que las cifras son de 100% y 89%, respectivamente.



Las organizaciones deben trabajar de manera coordinada, a fin de consolidar los recursos necesarios para un mejor análisis de riesgos. Los profesionales de seguridad no pueden confiar solo en la integridad del perímetro de la red, por lo que deben operar bajo el supuesto de que tarde o temprano enfrentarán escenarios de ciberataques.



Debido a lo comentado anteriormente, es muy importante que entendamos que al hablar de cybersecurity en nuestras empresas no involucremos solo a nuestro responsable de TI, sino también logremos la participación comprometida de nuestras áreas de negocio; de lo contrario, solo tendremos la tarea a medio hacer.



La realidad es que no son muchas las empresas que valoran lo que hoy denominamos cybersecurity.