Ciberseguridad: ¿por qué es un tema clave para las empresas?

César Farro, docente de UPN, señala que la falta de protección de la información en las empresas puede generar  interrupciones en sus operaciones e incluso incurrir en el incumplimiento de leyes de protección de datos personales (Ley No 29733). De allí que las empresas necesitan profesionales de ciberseguridad con una formación práctica y una visión estratégica y técnica.

Los ataques cibernéticos más comunes son: virus, malware, ransomware, phishing, SPAM, hackeo de centrales telefónicas conectadas a internet, ataques DDoS.

Incluso ahora, en el curso de la pandemia de coronavirus, a marzo de 2020 observamos phishing dirigido a Perú con el nombre de bancos locales y supermercados mediante mensajes de texto (SMS) con enlaces falsos. Así tenemos:

“Banco Peru, Su transferencia por s/1000 ha sido realizada exitosamente. Consulte sus saldos y movimientos aquí: https://bit.ly/Banco-Peru-Alertas”

“Banco Peru, Por motivos de seguridad tu cuenta ha sido bloqueada. Para activar tu cuenta puedes acceder de forma segura aquí: http://bit.do/I-Banco-Peru ”

“Super Mercado Peru, esta regalando un vale gratuito por valor de 500 soles para celebrar su 96 aniversario. A darse prisa! Obtenga su cupon gratis: http://www.supermercado.supermercado-gratis.club?cupon ”

Ataques cibernéticos

Las amenzas en el ciberespacio se han intensificado en los últimos años. En 2017 el caso del ransomware WannaCry, uno de los ciberataques más grandes de la historia, impactó en más de 150 países. También llamado WanaCrypt0r 2.0 o WCry, el ransomware WannaCry afectó sistemas operativos Windows cifrando los archivos e impidiendo que los usuarios puedan acceder a ellos hasta que no paguen US$ 300 en bitcoins en un plazo de tres días.

Precisamente, a nivel empresarial los ataques más recurrentes son los de tipo ransomware, que frecuentemente ingresan a la red de las compañías, buscan archivos grandes, bases de datos y archivos recientes y cifran los datos para luego pedir a cambio dinero electrónico a través de bitcoins. Es decir, te piden un rescate para devolverte los archivos originales, los atacantes te extorsionan con tu propia información.

La demanda por asegurar la información que manejan las empresas ha ido en aumento. En Perú este tipo de ataque ransomware se ha visto mucho antes del caso WannaCry, afectando a instituciones de gobierno, bancos, hospitales, clínicas, comercios, universidades, constructoras, colegios, etc.

Los ransomware pueden acceder de tres maneras a la información de las empresas:

  1. A través de un correo con un archivo adjunto que contiene malware como SPAM.
  2. Por medio de una unidad de almacenamiento removible (USB´s, discos duros, etc.).
  3. A través de un servidor publicado a Internet que no está protegido correctamente.

Frente a estas amenazas, recomiendo que las empresas desarrollen políticas de prevención y se bloqueen los puntos de acceso anteriores. Sin embargo, la medida preventiva más importante es el backup de la data crítica y realizar el proceso de restore diario o semanal de acuerdo al negocio de la empresa.

Políticas de seguridad en manos de expertos

Actualmente los profesionales del área de ciberseguridad juegan un papel clave en las empresas ya que son los responsables de proteger la información a nivel de los datos críticos del negocio, empleados, directivos, proveedores y sobre todo los datos de sus propios clientes. Por ello lo ideal es que estos profesionales tengan un perfil mixto estratégico para comprender el negocio de la empresa y técnico para conocer su arquitectura de TI.

Conocer la estrategia del negocio tiene como objetivo definir las políticas de seguridad de la empresa según los objetivos del negocio y su impacto en el cliente final, que incluye el cumplimiento de un marco regulatorio:

  • Norma Técnica Peruana NTP-ISO/IEC 27001- 2014, noviembre 2014.
  • Ley No 29733, LPDP (Ley de Protección de Datos Personales), julio 2011.
  • PCI DSS (Estándar de Seguridad de la Industria de Tarjetas de Pago) de cumplimiento para los bancos y todo negocio que  trabaje con tarjeas de crédito.  

Adicionalmente los profesionales de ciberseguridad deben conocer la arquitectura de TI de las empresas para identificar y minimizar los riesgos técnicos de los componentes de software, hardware y procesos que tiene la organización, de tal manera que permita establecer un proceso de mejora continua en la aplicación de los diferentes controles técnicos necesarios para disminuir los riesgos a nivel de personas, procesos y ganar eficiencia en la aplicación de los controles técnicos.

Aun cuando los ataques contra la información y datos de las empresas tienen un alto costo, existe un déficit de profesionales en el campo de la ciberseguridad. Por experiencia puedo decir que tanto en Perú como en Latinoamérica a las empresas les toma de 4 a 6 meses contratar un profesional de ciberseguridad. Sin embargo, este es también un escenario de gran oportunidad para todos aquellos jóvenes que buscan iniciar una carrera atractiva.

*Este post es una colaboración de César Farro, docente de la Escuela de Postgrado y Estudios Continuos (EPEC) de la Universidad Privada del Norte.

Whatsapp UPN