Un ciberataque puede ser más que un dolor de cabeza y una molestia que resolver con un técnico. Puede acabar con su negocio, advierte Andrés Casas, director de Gestión de Riesgo Empresarial de Deloitte y experto en ciberseguridad, uno de los 8 especialistas que expondrá en el seminario Estrategias sobre ciberseguridad, actividad que se realizará pl próximo viernes 28 de junio en el Costa Rica Country Club, en Escazú.
Casas expondrá sobre el tema Ciberamenzas ¿mito o realidad? La actividad es organizada por el Club de investigación Tecnológica y patrocinado por El Financiero, con el objetivo de analizar la dimensión real del problema y las estrategias disponibles para hacerle frente.
EF conversó con Casas sobre esta amenaza que está creciendo en todo el mundo.
¿Cómo es el comportamiento de ciberamenazas en Costa Rica?
Las ciberamenazas en Costa Rica han aumentado a un ritmo rezagado en comparación con otros países. Empezaron de forma tardía hace como 5 o 6 años. A nivel empresarial el riesgo no se relaciona directamente con el fraude, sino con la posibilidad de conocer, investigar y obtener la información de lo que hace la competencia. El riesgo se relaciona con la fuga de información. Se trata de una de las amenazas de las que menos se habla, pero es una de las más nocivas. La fuga de información se relaciona con los fraudes por parte de los mismos funcionarios, el mal uso de transacciones y la alteración de inventarios, por ejemplo. En un estudio realizado por Deloitte, concluimos que un 60% de los hallazgos registrados en una empresa se relacionaban al manejo de las identidades de las personas; es decir, uso de contraseñas, usuarios asignados, correos electrónicos, privilegios otorgados, etc.
¿Qué tan informadas están las empresas sobre estas amenazas?
Las empresas se pueden dividir en dos grupos: aquellas cuya funcionalidad se relaciona directamente con la tecnología, como bancos, empresas que se dedican al comercio, etc. Estas empresas tienen un poco de conciencia de lo importante que es el tema de seguridad. En el segundo grupo se encuentran las PYME, cuyo trabajo no está basado necesariamente con la tecnología. Por lo general, el tema de seguridad no es prioridad para las PYME y estas requieren evolucionar al tema de tecnología.
¿Cómo debe responder una organización en caso de un ataque cibernético?
Depende del ataque. Si el ataque afecta directamente a los clientes, se debe proceder a detener el ataque y comunicar e informar a los afectados, como en el caso de entidades bancarias al sufrir fuga de números de cuenta. O cuando se fugan bases de datos con detalle de enfermedades y etc. Si el ataque afecta los datos de las empresas, lo que se debe hacer es ver si se requiere ejercer una acción legal. Es necesario estar preparado para atender la situación.
¿Puede un ciberataque acabar con el negocio?
Tiene el potencial para hacerlo. Si alguien quiere dañar su empresa no va a hacerlo al azar. Requiere de conocer la tecnología y el protocolo. Un ataque puede dañar la imagen y hacerlo perder dinero. No basta el antivirus y el farewell.
¿Cuáles son las principales amenazas actualmente?
Fuga de información valiosa para la competencia y acceso a las bases de datos que incluye ataques electrónicos –desde modificar contenidos y ejecutar transacciones, hasta ataque para hacer desaparecer sitios–
¿Cuáles son las principales medidas?
Los empresarios tienen al alcance medidas duras (tecnológicas) que incluyen antivirus, farewell, etc, y también medidas suaves, las cuales son las más importantes. Estas medidas incluyen capacitaciones, promover la conciencia de seguridad en la empresa y establecer límites en el comportamiento de los colaboradores, así como las sanciones respectivas.
¿Cuál es el principal error de una compañía en este sentido?
Comenzar a invertir sin tener claro de qué se quieren defender. No conocer el alcance del aspecto seguridad y no identificar dónde se pueden poner controles y dónde no.
¿Están actualmente preparadas las empresas?
Hay varias divisiones. En el sector financiero, las compañías tienen un nivel razonable a nivel local. El sector del Gobierno tiene el concepto un poco más claro, pero puede mejorar. Sin embargo, las empresas privadas definitivamente no están preparadas, de hecho tienen problemas para manejar lo básico: contraseñas, usuarios, perfiles de Facebook, etc,
¿Cuánto debe invertir una empresa en seguridad?
No existe un monto específico, pues se trata de un asunto de gestión de riesgos. Es necesario conocer el impacto y el riesgo, para luego decidir dónde y cómo invertir.
¿Cuántas pérdidas puede tener una empresa que no se prepara adecuadamente?
En el caso de una empresa que resgistre un incidente en el servicio de facturación y facture unos $70.000 al mes, podría exponerse a perder ese monto total por no invertir en una plan de seguridad que podría costarle un $11.000. La pregunta sería: ¿Qué prefiere? ¿Perder $70.000 o invertir $11.000?