1. Los códigos maliciosos nos acechan
“Esta fue una oportunidad para evaluar qué tan preparados estamos ante un ataque cibernético”, dijo Jeimy J. Cano, Ph.D, profesor de la Escuela de Administración de la Universidad del Rosario, quien cuenta con más de 20 años de experiencia en seguridad de la información, al alertar sobre los desafíos de las empresas en la actualidad y compartir los resultados de “La ventana de AREM”, un instrumento estratégico y táctico, de su autoría, que surge como una solución viable a la hora de repensar la gestión de riesgos en las organizaciones.
Un estudio pionero en la región, fruto de la colaboración entre el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID) reveló que del 65% de las empresas entrevistadas, entre el 81% y el 100% de su fuerza laboral cuenta con acceso a Internet (en el sector público el 69%). Aun así, solo el 37% de ellas –de los sectores servicios, industria y comercio– creen que están preparadas para manejar un incidente digital.
En cuanto al tamaño de las empresas, el 70% de las grandes compañías se sienten preparadas para gestionar un incidente de esta naturaleza, frente al 45% de las microempresas. No obstante, cuando se compara con las entidades territoriales, los datos muestran que tan solo el 28% a nivel municipal y el 38% a nivel departamental se sintieron prepararos para manejarlo.
¿Qué hacer? Fortalecer la cultura, es decir tener un liderazgo visible; pasar de proteger y asegurar a defender y anticipar. En otras palabras, dar el salto al entendimiento y gestión de la complejidad de la seguridad de la información.
Marcos de gestión de riesgos: desactualizados
“El primer fundamento de este artículo es reconocer que aunque los marcos de gestión de riesgos funcionan, no se han actualizado en los últimos 40 años, cuando resulta que hoy nos movemos en un mundo volátil, incierto, complejo y ambiguo (VICA), que nos exige a las empresas y a las personas estar adelante de la curva para anticipar los riesgos y amenazas emergentes.
“En este camino, necesitamos darle una mano a dichos marcos de gestión de riesgos, de manera que nos permitan enfrentar el entorno VICA mencionado y tener herramientas para anticiparnos”, explica el profesor.
El estudio de MinTIC, la OEA y el BID muestra justamente los impactos de los incidentes de seguridad de la información en Colombia, lo que nos lleva a entender que estos no pasan desapercibidos, y menos hoy cuando la dependencia de las tecnologías es cada vez mayor, sino todo lo contrario: que tienen repercusiones en la operación, en los negocios y en el ámbito económico y reputacional de las empresas.
Responsables y presupuesto asignado
En Latinoamérica, solo el 14,2% de las empresas tienen Directores de Seguridad Informática, según un estudio de la Asociación Colombiana de Ingenieros (ACIS), realizado por el profesor Jeimy J. Cano, de la Universidad del Rosario, junto con Gabriela María Saucedo Meza, del Politécnico Internacional. En este participaron 176 empresas de diversos sectores, 98,86% de América Latina y 1,14% de España.
“En el IX Informe de Encuesta Latinoamericana de Seguridad de la Información (presentada en la XVII Jornada Internacional de Seguridad Informática), se nota que poco a poco los empresarios se han concientizado, al punto que en el 2017 los responsables dependen un poco menos del área de tecnología y más de Seguridad Informática”, dice el profesor.
En cuanto al CISO, Director o Gerente de Seguridad de la Información, el estudio es revelador. Dice que el tipo de información que entrega es 26% técnica, 22% de riesgos y 22% de gestión, e igualmente que los temas clave que debe tener en cuenta el responsable de la seguridad informática son: ciberseguridad, fuga de información, seguridad y control en la nube, fraude informático y amenazas persistentes avanzadas.
Sobre las brechas identificadas para los profesionales que ejercen este cargo, se encuentran habilidades gerenciales, habilidades de comunicación, y habilidades y visión de negocios estratégicos. El informe arroja que el 22% los ve como asesores, el 21% como implementadores y el 19% como supervisores.
Visto de manera más amplia, según el tamaño de la empresa, el 5,07% de aquellas que tienen más de 5.000 empleados en promedio tienen de 6 a 10 personas dedicadas a la seguridad informática, mientras que el 8,7% de las pymes, que tienen de 200 a 500 empleados, escasamente de 1 a 5 personas.
Otro avance que vale la pena destacar está relacionado con presupuesto. Aunque solamente el 2,8% del sector de servicios financieros y banca destina entre el 3 y el 5% del presupuesto general para la seguridad y el 1,7% de las empresas de consultoría destinan entre el 9 y el 10%; del presupuesto proyectado para el 2017, el 7,39% destinan más de 130.000 dólares y el grueso, es decir el 5,68% entre 20.000 y 50.000 dólares. En términos generales se pasó de 55% de presupuesto asignado en el 2016 a 71,02% en el 2017.
Incidentes identificados y riesgos
En este estudio, una mirada a los incidentes identificados y notificados permite ver que el sector servicios financieros y banca reporta el 18,3%, educación el 15% y Gobierno - consultoría el 10,2%, y que los temas más detectados son caballos de troya (14,4%), instalación de software no autorizado (13,8%), Phising (11,2%), Ransomware (7,5%) e ingeniería social (6,1%).
Ahora bien, el 42,61% dice que tiene contactos con autoridades nacionales e internacionales para colaborar y recibir asistencia en caso de un ciberataque o incidente, es decir que conocen los protocolos; el 57,39% son conscientes de la importancia de la prevención y análisis; el 17,05% tiene una estrategia de descubrimiento electrónico y solo el 21,59% cuenta con un procedimiento aprobado e implementado para administrar evidencia digital.
Referente a riesgos de seguridad propiamente, ninguna de las empresas participantes los ve como un riesgo estratégico, sino que el 33% los asocia a riesgos operacionales, el 17,9% a riesgos legales, otro 17,9% a riesgos económicos, el 17,1% los identifica como riesgos reputacionales y el 11,9% como riesgos transversales.
Lo anterior tiene relación con el número de veces que hacen análisis de riesgos. Las empresas más juiciosas son las de consultoría, mientras que curiosamente el 7,39% de las de servicios financieros y banca hacen análisis 2 ó 4 veces durante el año. El resto escasamente lo hace una vez.
“En resumen, actualmente hay un mayor conocimiento de los flujos de información, pero también una mayor brecha en habilidades gerenciales y hay mayor asignación presupuestal, aunque todavía es escasa. Todo esto, en el entorno inestable del que hemos hablado”, concluye el profesor de la Universidad del Rosario, Jeimy J. Cano.