A pesar de haber experimentado algún tipo de amenaza a la seguridad cibernética durante el 2012, 9 de cada 10 empresarios aseguran no percibir vulnerabilidad ante amenazas cibernéticas externas, según un estudio realizado por Deloitte Touche Tohmatsu Limited (DTTL).
El estudio se realizó entre 121 ejecutivos de compañías de Tecnología, Medios y Telecomunicaciones (TMT) de 38 países.
Menos de la mitad de los encuestados informaron tener un plan de respuesta para abordar una violación de seguridad y solamente un 30% cree que terceros apoyan suficientemente la responsabilidad por la seguridad cibernética.
En cuanto a violaciones de seguridad de terceros, un 74% considera que se trata de una de las tres principales amenazas, seguidas por los ataques de denegación de servicios y los errores y omisiones de empleados.
Otro de los peligros identificados se relaciona con amenazas avanzadas persistentes (64%) y la piratería informática “hacking” (63%) –nueva en este estudio–, la cual combina el activismo social o político con la piratería informática.
Solamente un 39% de los encuestados aseguró recolectar información acerca de ataques dirigidos específicos contra su organización, industria, marca o clientes.
Franklin Noguera, socio de la división de Gestión de Riesgo Empresarial de Deloitte Costa Rica, considera que el tema no debe ser si la empresa va a ser atacada o no; para él la interrogante es cuándo y cómo va a responder, pues una gestión efectiva de los riesgos de la seguridad informática exige de una combinación fuerte de prevención, detección temprana y respuesta rápida.
“Toda organización es vulnerable y no existe un 100% de prevención. Para ayudar a prevenir los ataques es indispensable la detección y la respuesta. En última instancia, el sector público y privado necesita entablar una colaboración más profunda en el 2013 en todos los sectores de TMT para desarrollar una acción de respuesta más robusta,” comentó Noguera.
Con él coincide Didier Fallas, director de redes e infraestructura de Internexo, quien recomienda como medidas mínimas mantener los sistemas actualizados, aplicar las guías de seguridad de los productos o sistemas que se adquieren y tener en cuenta que se pueden asegurar con políticas especiales propias del producto o de la organización.
"Para cierto nivel se recomienda contar con un especialista en seguridad que guíe, aconseje, recomiende y aplique adecuadamente las guías de seguridad. Siempre se debe ser desconfiado y precavido. No se puede creer al 100% que los sistemas y herramientas son suficientemente seguros", dice Fallas.
Papel de colaboradores
La investigación también identificó la falta de sensibilización de los colaboradores y los riesgos de terceros como una de las principales vulnerabilidades, lo que sugiere una inversión en capacitación en seguridad informática y en sensibilizar a sus empleados para ayudar a mitigar los riesgos de las nuevas tecnologías.
Los colaboradores que no tienen suficiente sensibilización acerca de los problemas de seguridad, pueden poner la organización en riesgo, hablando de su trabajo en público, respondiendo emails de “phishing”, o admitiendo a personas no-autorizadas dentro de las instalaciones de la organización.
En cuanto a dispositivos móviles y redes sociales, Fallas recomienda no guardar las contraseñas y mejor digitarlas, hacer uso de los niveles de seguridad de los dispositivos y establecer un nivel de políticas de uso de dispositivos en la empresa.
El estudio revela además que las nuevas tecnologías agravan el problema, pues aunque pueden brindar capacidades nuevas poderosas que beneficien el negocio, también involucran riesgos a un ritmo mucho más rápido que el que la organización puede manejar.
Un 74% de los ejecutivos encuestados calificaron la tecnología móvil y la tendencia de BYOD ( Bring-your-own-device ; Traiga-su-propio-dispositivo) como una preocupación constante; sin embargo, solamente la mitad de las organizaciones encuestadas indicaron tener políticas específicas para los dispositivos móviles en el lugar.