Banca en la mira: la urgente necesidad de una cibercultura de «confianza cero»
La ciberseguridad se debe institucionalizar y transformar en parte de la cultura diaria de las personas, así como de las instituciones, organizaciones y empresas públicas y privadas. Para eso es clave que los tomadores de decisiones dejen de percibirla como un gasto.
Por Iván Toro, gerente general de ITQ latam.
Según datos de Fortinet, en Chile, durante 2020, se registraron más de 2,3 mil millones de intentos de ciberataques, de un total de 41 mil millones en América Latina y el Caribe. Y dentro de tal magnitud, los ataques más visibles fueron los que sufrió la banca.
Instalar una cibercultura al interior de la banca no debe ser visto como un objetivo solo necesario por el aumento permanente de las ciberamenazas, sino, sobre todo, por los beneficios permanentes que entrega tener una estrategia de prevención.
Hablemos de inversión, que si no contamos con aquello… En Chile se invierten unos US$200 millones al año en ciberseguridad, lo que equivale al 0,0007% del PIB sin embargo, a nivel mundial el promedio de inversión en esta materia es del 0,0012% del PIB.
Pero algo pareciera estar cambiando, ya que mientras la Casa Blanca implora a las empresas que refuercen sus defensas contra el ransomware, y su Cámara de Representantes presenta proyectos de ley para proteger las infraestructuras críticas de los ciberataques, en Chile se acaba de anunciar un proyecto de ley para la creación de una Agencia Nacional de Ciberseguridad, con el objetivo de prevenir y combatir delitos informáticos.
Se trata de una gran noticia que se suma a otras iniciativas como la creación del CSIRT estatal hace tres años. Como se dijo en su anuncio, el país requiere con urgencia una institucionalidad en ciberseguridad para hacer frente a los desafíos que implica el uso masivo y extensivo de las tecnologías de la información.
Es que la ciberseguridad tiene muchos componentes que no solo consideran aspectos de hardware o software de seguridad, sino que también incluye procedimientos, políticas, buenas prácticas, actividades de conscientización y gestión de riesgo, por indicar los más relevantes. Todos esos componentes deben estar considerados en un plan en cada compañía u organización, el que, en concreto, permita enfrentar cualquier impacto o amenaza de la mejor forma posible y resguardar la data de las personas, las empresas y las organizaciones.
LA SOCIEDAD CAMBIÓ
La sociedad depende de los sistemas informáticos para poner en marcha sus procesos de administración, funcionamiento, logística y distribución. Las industrias, como el comercio o la banca, así como la generación y distribución de servicios básicos, requieren del uso de las tecnologías de la información para operar. Sumemos a todo esto que ahora hay teletrabajo, se estudia en línea y se compra y vende de manera electrónica. En definitiva, se aceleró la digitalización de la sociedad, un proceso sin retorno que sumará nuevos desafíos, por ejemplo, con la masificación del 5G o el Internet de las Cosas (IoT). Entonces, la necesidad de una cultura de ciberseguridad ya es transversal a todas las industrias y áreas de lo cotidiano. Por lo mismo, su desempeño es clave para garantizar no solo el buen funcionamiento de estos procesos, sino también para resguardar la información y los datos relevantes, públicos o privados.
En la actualidad, los ciberdelincuentes pueden atacar una planta nuclear o a la banca; a una empresa privada o un ministerio; o cuentas personales, como la de un ciudadano que camina tranquilo por la calle, sin siquiera imaginarlo. Porque lo que persiguen es información clave, datos, contraseñas o causar un daño social. O mediante un chantaje, obtener dinero o simplemente una vitrina para protestar por alguna causa social.
Cualquiera de estos incidentes traen consecuencias que van más allá de un deterioro en la imagen de un país o de una entidad afectada. Podría ser incalculable el daño tras la filtración de datos confidenciales o la intrusión en un infraestructura crítica. Ni pensar en los costos económicos, los que este año podrían llegar a los US$6 mil millones a nivel mundial, según cifras de Computerworld.
La ciberseguridad se debe institucionalizar y transformar en parte de la cultura diaria de las personas, así como de las instituciones, organizaciones y empresas públicas y privadas. Para eso es clave que los tomadores de decisiones dejen de percibirla como un gasto. Por el contrario, deben visualizarla como una inversión, al ser conscientes de la necesidad de invertir en este ámbito de una forma proactiva. No hay que esperar a ser atacado para hacerlo.
CONFIANZA CERO
Por último, es importante comprender que así como evoluciona la tecnología, también lo hacen los ciberdelincuentes y, por ende, la ciberseguridad debe ir un paso adelante. Aquí la premisa debe ser confianza cero.
Confianza cero a todo nivel: desde la persona que pide comida a través de una aplicación móvil, hasta el gerente que gestiona su negocio desde su notebook, pasando por el servicio de data center, porque no solo el perímetro de una red y los dispositivos que se usan deben resguardarse. El foco debe estar en los datos y en la identidad de los usuarios.
El desarrollo de la ciberseguridad en Chile debe contribuir a la transformación social y ser una oportunidad para la innovación. Hoy tenemos la oportunidad de trabajar para que el país sea líder en ciberseguridad, para sus propios ciudadanos y el mundo.
La importancia del conocimiento TI en medio de la digitalización permanente
Si consideramos que el avance tecnológico es constante y se proyecta en el tiempo, podemos determinar que el conocimiento es el motor que da la velocidad a ese movimiento permanente. Así, el desarrollo de la tecnología no es más que el fruto de la necesidad del ser humano por hacer y saber cada día más, lo que implica necesariamente generar herramientas que le permitan desarrollar de mejor manera la búsqueda de las grandes preguntas sobre su entorno y existencia. Por eso, algunos de los propósitos de la tecnología es hacer que el ser humano genere para sí una mayor cantidad de tiempo y que además concentre una gran cantidad de información.
Lo cierto es que el conocimiento es la interacción del contexto, la información y la experiencia, y sus gestores son los colaboradores de las organizaciones, que, a su perseverancia, decisión y propósito, dedican su vida a la búsqueda del conocimiento para plasmarlo en las metas y objetivos de las organizaciones que concentran este conocimiento en favor de los productos y servicios que ofrecen al mercado.
Por lo anterior, una manera de promover el conocimiento es atraer colaboradores que sientan que la organización que los llama está dentro del contexto donde ellos se quieren desarrollar; y para mantenerlo, es necesario generar un ambiente organizacional donde toda la información fluya de la mejor manera.
Un colaborador no seguirá comprometido con el proceso de conocimiento si no se le mantiene informado del propósito de sus funciones y si no comparte la visión global de la organización. Como dice la vieja fábula: “hay una gran diferencia entre picar piedras y construir catedrales”, si solo pica piedras lo hará de forma mecánica, pues uno solo se compromete con lo que siente parte, lo demás es solo cumplir.
Para ello, además, hay una muy vieja receta: hago que tu experiencia en la organización sea una gran experiencia y para eso no necesito fuegos artificiales, te respeto, confío en ti, en tus capacidades, te acompaño, genero un liderazgo positivo, te doy oportunidades, retribuyo tu esfuerzo, te corrijo con claridad, te hago parte, genero tu pertenencia.
En definitiva, el conocimiento y la tecnología deben estar al servicio del usuario, como herramientas para su desarrollo permanente en todos los ámbitos de su vida, personal, familiar, laboral y social.
Elon Musk dijo: “no requiero colaboradores con títulos y cartones, necesito colaboradores con comprensión profunda de la inteligencia artificial y capacidad de implementar de una manera útil”. Y también agregó: “si al final del día, creemos que la tecnología es el conjunto de conocimientos y técnicas que, aplicados de forma lógica y ordenada, permiten al ser humano modificar su entorno material o virtual para satisfacer sus necesidades, como un proceso combinado de pensamiento y acción con la finalidad de crear soluciones útiles, es que no hemos entendido nada, pero seguiremos adelante”.
El mayor desafío para las redes, es la concientización para su seguridad
Por Salvador Esquivel
A propósito del día internacional de Internet, uno de los mayores desafíos para la red de redes es la concientización de las personas respecto de los datos que se comparten a través de ella y la privacidad de la información. Ya sea a nivel corporativo, doméstico, privado o público, lo concreto es que las redes son manejadas y administradas por personas y la seguridad, más allá de protocolos, herramientas, programas, doble o triple autenticación y tecnologías avanzadas, queda en manos de esas personas. De ellas y sus decisiones depende, muchas veces, cuán segura es o no una red.
Y es que, en el día a día, ciertas contingencias o la premura por resolver algún problema, así como el exceso de confianza, lleva a los administradores de redes a cometer imprudencias que pueden tener graves consecuencias. La más común es el compartir credenciales o claves de acceso y, una vez solucionado el inconveniente, no cambiarlas.
Ese simple ejemplo se replica en todos los ámbitos, desde la persona en su casa comprando en línea, hasta las grandes corporaciones, resolviendo caídas de sistemas, pasando por los funcionarios públicos en un servicio de atención ciudadana. De ahí la importancia de generar conciencia en las personas para que normalicen la precaución, sepan dilucidar un riesgo y estén preparadas para enfrentarlo, sin importar el escenario.
Esa concientización debe ser un trabajo permanente que tiene que partir desde la casa con los más pequeños y continuar a todo nivel, de manera transversal en todas las áreas, organizaciones y empresas, tanto públicas como privadas. Precisamente, porque hoy ya no se concibe la vida sin las redes, éstas son utilizadas y necesarias para que todos los sistemas funcionen: banca, retail, finanzas, estudios, salud, entretenimiento y tantas otras.
Los riesgos son cada vez mayores y, más allá de los enormes avances técnicos, las personas siempre han de tener la última palabra. En ciberseguridad se les llama el eslabón más débil y el desafío es revertirlo.
CIBERSEGURIDAD EN EQUIPOS REMOTOS Y DISPOSITIVOS MÓVILES EN TIEMPO DE CUARENTENA
Por David Castro, Ingeniero especialista en ciberseguridad, ITQ Latam.
En el contexto actual, en que una gran parte de las personas está trabajando desde casa, sin tener experiencia en ello, es importante tener algunas consideraciones en materia de ciberseguridad y el uso de dispositivos móviles y equipos remotos. Esto, porque las amenazas serán las mismas que hace unos meses, siendo las principales el phishing o el malware a través del correo electrónico, pero lo que sí cambia es la situación. Por lo tanto, es vital tener presente que el equipo de trabajo es para trabajo y no para ocio, pero, si esta lógica no se mantiene los riesgos pueden aumentar con actividades como la navegación a sitios web de entretenimiento que pueden contener código malicioso.
Así, efectivamente uno de los grandes factores de riesgo de trabajar desde casa es la protección de estos dispositivos, la cual es una responsabilidad tanto de la empresa como del empleado que hace uso del mismo.
Por parte de la empresa se recomienda la instalación de software EDR (endpoint detection and response) para resguardar la seguridad virtual de los dispositivos. Este permitirá a la organización no sólo prevenir malware sobre el equipo sino que también dará a capacidad de responder a un ciberataque de forma remota e inmediata. También se recomienda cifrar el disco con software criptográficamente seguro.
Asimismo, se sugiere contar con un software MDM (mobile device management) en los dispositivos móviles, ya que un teléfono, por ejemplo, es más propenso a ser perdido o robado y al almacenar información sensible podría requerir en determinado momento que como respuesta a ese incidente se produjese un borrado completo de la información del terminal o su geolocalización en tiempo real por si fuera posible recuperarlo.
Es importante tener en cuenta que medidas como la implementación del EDR o MDM pueden tener implicaciones legales (por privacidad), por lo cual es aconsejable que la empresa invierta en equipos propios y los modifique tomando como base la seguridad para abordar ese problema.
A nivel de red, las empresas deben proteger las conexiones entre los equipos de sus empleados y su central, para lo cual se debe hacer un trabajo importante a nivel de arquitectura de red y de seguridad de los servidores de la red interna, para que en el caso de que un empleado fuese infectado por algún tipo de malware en su equipo, no sea posible propagar la infección a los demás equipos de la empresa.
La gran mayoría de empresas necesitará que sus empleados establezcan conexiones desde sus casas a la oficina, lo cual supone un vector de ataque crítico para la compañía. Para solventar este problema y disminuir los riesgos, es mandatario que la empresa establezca un modelo de seguridad perimetral para el control de acceso; para lo cual la mejor opción es proveer a sus empleados de equipos corporativos con las funcionalidades limitadas a lo que es necesario para llevar a cabo las tareas, preferiblemente adaptado a los departamentos dentro de la empresa.
Adicionalmente, debe tener un plan de contingencia que permita dar respuesta a un ciberataque de forma inmediata y con la mínima afectación sobre la continuidad del negocio. Otra parte clave para implementar el tele-trabajo como una opción viable y segura es la concienciación en seguridad a los empleados. Si todos los anteriores puntos se cumplen, se debe considerar desplegar un sistema de contrainteligencia para aumentar aún más el nivel de seguridad de la compañía.
Por último, el trabajar desde casa puede difuminar la línea entre las actividades laborales y las personales. Es importante que los trabajadores mantengan esta máxima clara y presente para no caer en la tentación de realizar actividades desde el dispositivo corporativo que no habrían hecho si estuviesen en la oficina. No hay que olvidar que el eslabón más débil es la persona y el error humano.
ITQ LATAM: MEDIDAS DE CIBERSEGURIDAD ANTE ATAQUES RELACIONADOS AL COVID-19
Francisco Rodríguez, especialista en ciberseguridad de ITQ Latam
La crisis sanitaria del Covid-19 está produciendo el entorno adecuado para que los cibercriminales aprovechen esta situación para realizar múltiples campañas de malware, phishing o ransomware.
El miedo a la pandemia del coronavirus está siendo utilizada para difundir virus informáticos. El especialista en ciberseguridad de ITQ Latam, Francisco Rodríguez, entrega algunas recomendaciones de resguardo.
De acuerdo al ejecutivo, se está proponiendo el teletrabajo como medida para evitar la expansión de la pandemia, ‘pero los planes improvisados de acceso remoto pueden provocar importantes problemas para las compañías’, precisó. En ese escenario, agregó, la pregunta es si empresas y empleados están preparadas para el teletrabajo.
Por lo mismo, señaló, ‘desde ITQ lanzamos una serie de recomendaciones, tanto para las empresas como para los empleados a fin de evitar problemas de seguridad’.
Recomendaciones para los empleados:
1. Utilizar el equipo corporativo solamente para temas profesionales
2. Usar contraseñas robustas para el acceso remoto a los servicios corporativos
3. Cifrar completamente el disco duro para evitar el acceso ilícito a la información corporativa que contiene el equipo
4. Evitar el uso de redes públicas para el acceso a la red corporativa
5. Cumplir todas las recomendaciones proporcionadas por el departamento de ciberseguridad de la empresa
Recomendaciones para la empresa:
1. Formar a la plantilla acerca de cómo acceder de manera segura y remota a la información corporativa
2. Verificar y asegurar quién tiene acceso a la información y a qué información
3. Monitorizar el acceso a la información
4. Priorizar el uso de dispositivos corporativos frente a los personales de los empleados. Las empresas deben proporcionar equipos a sus empleados con protocolos de seguridad durante el teletrabajo
5. Establecer diferentes niveles de acceso a la información, dependiendo del nivel de confidencialidad de la misma
6. Verificar la infraestructura VPN desplegada en la infraestructura propia, realizando pruebas de carga para afirmar que los empleados puedan trabajar sin problemas, corroborando la seguridad de los datos e información de la empresa en los accesos remotos realizados por los empleados
7. Usar VPN con doble factor de autentificación o firmas digitales siempre que sea posible
8. Limitar a cada usuario el acceso solamente a aquellos recursos que les permita realizar su trabajo
9. Concientizar a empleados para evitar ciberdelitos durante el teletrabajo
Ciberseguridad y emprendimiento
Por Iván Toro, gerente general de ITQ Latam
De acuerdo a información del Ministerio de Economía, en Chile existe un millón 865 mil 860 emprendedores, de los cuales un millón 814 mil 938 son microemprendedores. Lamentablemente, ocho de cada 10 emprendimientos no pasan el primer año de vida en Chile y, según Spain Startup, nueve de cada 10 startups no llegan a los tres años de vida.
Los motivos pueden ser variados, desde la falta de acceso a recursos hasta un mal enfoque de ventas, pasando por decisiones erradas. Uno de ellos también puede ser la ciberseguridad. Ésta se ha transformado en un elemento vital dentro de cualquier empresa, sin importar su tamaño ni su rubro. Hoy, es tan relevante como lo son Recursos Humanos, Marketing, Contabilidad, Finanzas o Remuneraciones. Esto, porque, en la actualidad, si se gatilla una amenaza, puede matar el negocio.
La cantidad de ataques, así como su nivel de peligrosidad aumentan a diario. El año pasado, por ejemplo, 41 mil tarjetas bancarias fueron hackeadas; aumentaron los ataques a desarrolladores de software que proveen a terceros y las fake news en Chile obtuvieron más de 11 millones de interacciones, propiciando los delitos de los ciberdelincuentes, según datos de un estudio realizado por el Polígrafo de El Mercurio. Asimismo, los ciberdelincuentes cada vez se aprovechan más de las vulnerabilidades de las apps más populares para obtener los datos de las personas e infectar dispositivos móviles.
Así, el emprendedor está muy expuesto a ser atacado, directa o indirectamente, y perder su negocio. Si se queda sin flujo de caja, por ejemplo, debido a un ataque a sus cuentas bancarias o a que le robaron sus datos, sin duda, ese problema puede llevar su empresa a la quiebra.
Por lo anterior, es indispensable que quien está emprendiendo entienda que la ciberseguridad es un elemento clave que puede significar su éxito o su fracaso; y que no necesita grandes sumas de dinero para invertir en ella, sino solo una estrategia consciente, acorde a sus necesidades y realidad.
Efectivamente, si el presupuesto es reducido, lo fundamental es la estrategia; luego, planificar un ecosistema de ciberseguridad y, en base a eso, buscar las herramientas y soluciones indicadas. Hoy, el mercado ofrece muchas de ellas sin costo o a un costo ajustable. Lo importante es informarse, entender bien el tema y asesorarse por expertos serios.