Cuando hay mucho por hacer, establece tus prioridades: Vestiga Consultores

El inicio de año es, frecuentemente, una época de buenos propósitos y grandes planes; pero con la finalidad de concretarlos es importante establecer prioridades, fechas de cumplimiento, acciones tácticas que se concreten en indicadores de corto, mediano y largo plazo.

Ciudades Inteligentes

Para establecer las prioridades tecnológicas y de seguridad, platicamos con Francisco Garcia Dayo, director de Gobierno de la Tecnología de Vestiga Consultores y con Carlos Estrada Nava, director de Ciberseguridad de la misma empresa: Francisco García Dayo mencionó que la gobernanza de tecnología debe estar en la mira de los altos directivos de la organización.

Organizar las prioridades

"Si bien el equipo de tecnología es muy importante, la responsabilidad final va a recaer en el dueño de la organización, los principales accionistas, sobre la dirección general, ellos deben tener conocimiento de lo que está pasando, deben hacer un diagnóstico de lo que está pasando para poner el enfoque en donde están los principales riesgos, el tema de ciberseguridad"

Francisco Garcia Dayo, director de Gobierno de la Tecnología de Vestiga Consultores


El especialista comentó que el trabajo remoto continuará en 2021, por lo que esta tendencia será muy importante para proteger y mejorar la seguridad de los datos de la empresa; otro tema prioritario es la protección de datos personales de forma completa; finalmente explicó que la Automatización y el aumento del uso de Inteligencia Artificial será el tercer tema más mencionado del año, en ese orden.

Por su parte, Carlos Estrada Nava explicó que el trabajo remoto abre nuevas brechas de seguridad para todas las empresas, provocado en gran medida por la gran cantidad de dispositivos que no están protegidos en los domicilios de las personas que hacen Home office


"Se multiplicaron las fugas de información y van a seguir aumentando"

Carlos Estrada Nava, director de Ciberseguridad de Vestiga Consultores


Otro tema relevante en este contexto es la migración a la nube: muchas empresas no cuentan con la infraestructura para realizarlo en términos de cuidar la identidad de los usuarios, por lo que se exponen a que haya robos de la información o sabotaje.

En México aún no está tipificado el delito de boicot; mientras que en países como Reino Unido alguien que borre información de empresas puede obtener una pena de hasta cinco años de cárcel, mientras que aquí aún no existe legislación al respecto.

Carlos Estrada advirtió que, al estar en medio de una crisis económica, muchas empresas no tienen dinero para certificarse en ISO 27000, el parámetro de mejores prácticas de ciberseguridad, por lo que muchas empresas han comenzado apenas a conformar comités Internos para atender estos temas.


"400 empresas, es decir, cerca del 1% de las empresas cuentan con primas para protegerse de un ataque crítico; esto es muy bajo, pues en otros países entre el 10 y 15% de las empresas están protegidas"

Carlos Estrada Nava, director de Ciberseguridad de Vestiga Consultores


El especialista en Ciberseguridad especificó que se espera que este semestre se apruebe la primera Ley Nacional de Ciberseguridad, en la que se va a establecer la obligación de reportar incidentes que comprometan las infraestructuras críticas del país (hospitales, bancos, universidades, red de agua,  red de transportes, telecomunicaciones), pero una preocupación latente es que el monitoreo de estas estructuras quede a cargo de la Guardia Nacional y no se cuente con la posibilidad de crear colaboración interinstitucional.

Evaluación de proveedores: una necesidad impostergable

Francisco García Dayo, director de Gobierno de la Tecnología de Vestiga Consultores, mencionó que las acciones preventivas, como pruebas periódicas o la gestión de proveedores que tengan acceso a la información de la empresa es muy relevante, porque representan un vector de riesgo.

En general se requieren protocolos para las empresas y para el gobierno, puesto que los ciberataques pueden generar pérdidas millonarias que lleven a empresas enteras a la quiebra.

Ha aumentado de manera significativa el secuestro de información y la extorsión, que, a decir de los especialistas, es el último eslabón de una cadena de ciberataques que terminan en una llamada de atención para obtener un rescate por la información.

A decir de los consultores de Vestiga, México ocupa el lugar 67 en ciberseguridad, cuando, por el tamaño y la relevancia de nuestra economía deberíamos estar entre los primeros 20 lugares en protocolos de ciberseguridad.


"Estamos en cero en cuanto a monitoreo de amenazas. Un grave problema es que no se publican los análisis post morten, lo que representa una buena práctica, pero en la actual administración la información se está archivando y conoceremos el origen de los ataques a Pemex hasta 2026; esto es muy malo porque no vamos a poder usar esta información para proteger a otras organizaciones o saber a qué nos enfrentamos"

Carlos Estrada Nava, director de Ciberseguridad de Vestiga Consultores


Los consultores comentaron que muchas empresas se ven desafiadas para lograr contar con planes de recuperación o continuidad de negocio.


"Debemos anticiparnos para saber, en caso de un ataque o ciberataque: ¿Cómo voy a reaccionar? Aún con estos eventos todas las empresas deben tener un proceso"

Carlos Estrada Nava, director de Ciberseguridad de Vestiga Consultores


El especialista en ciberseguridad mencionó que la seguridad sí es prioritaria para las empresas, pues en todas las compañías se considera necesario tener software para protegerse, pero la tendencia es lograr mayor protección a menor costo, por lo que está creciendo el negocio de "Ciberseguridad como servicio", ya que las amenazas son muchas: tan solo en México hay 14 grandes grupos de ciberdelincuentes que obtienen 100 millones de dólares al año, mientras que existe un déficit de personal capacitado para hacer frente a esta amenaza.

En muchos países las empresas están reorganizando los presupuestos del portafolio tecnológico para redirigirlo a proyectos que puedan ser más rentables y se puedan mantener competitivos.

Estrada Nava explicó que instituciones como el Banco de Bienestar y el Consejo de la Judicatura Federal han sido atacados y aún hay mucha información por conocer, pero los Centros de Monitoreo y Respuesta a Incidentes con los que se cuentan no están revelando esta información, a diferencia de otros estados como Estonia, Singapur, Israel o la India, donde una práctica habitual es compartir los hallazgos para aprender de cada caso de ciberataque.

En el caso del reciente apagón sufrido por la CFE, Estrada Nava consideró que se debe a la baja resilencia con la que cuenta la red eléctrica nacional; además de comentar que diariamente la CFE recibe cerca de 2000 intentos de ataque.


"Hay que generar conciencia: hay formas de mitigar los ataques, siempre y cuando las organizaciones estén dispuestas a mejorar en términos de ciberseguridad

Carlos Estrada Nava, director de Ciberseguridad de Vestiga Consultores


Finalmente los consultores coincidieron en que las organizaciones deben de tomar medidas, pues los ataques no van a detenerse en este 2021 e incluso podrían comprometer hospitales, por ejemplo, el área de terapia intensiva donde grupos delictivos han llegado a secuestrar la operación, comprometiendo la vida de personas, de allí que el blindaje al sector salud en el área de ciberseguridad sea una realidad a tomar en consideración.

Version Digital NEO

Revista digital #256

 


Escucha en linea


 

Mazda