En Costa Rica nos vimos obligados a colocar rejas y dispositivos de seguridad en hogares, residencias, condominios y empresas. Quedó atrás cuando se dejaba abierta la puerta “de afuera”, se mantenían las ventanas de par en par, y la gente se iba al patio.
Lo mismo debemos aprender en Internet. Los operadores de Internet (ISP, por sus siglas en inglés), que brindan enlaces a nivel residencial y empresarial, están obligados a cumplir los estándares internacionales para brindar seguridad. Incluso cuentan con un portafolio de servicios de protección.
Nada de eso impide que los ciberdelincuentes hagan de las suyas, lo cual implica que la seguridad informática recae en buena parte en las empresas y en los usuarios. “Existe una amplia gama de servicios al que las empresas, ya sean pequeñas o grandes, pueden acceder a través de las plataformas”, dijo Luis Carlos Rojas, director senior de servicios empresariales de Cabletica Negocios y Movistar Empresas.
Los servicios son utilizados por empresas y entidades de distintas actividades y sectores.
Erick Montenegro, gerente senior de ciberseguridad y cloud, y Daniel Mizrachi, director de tecnología y operaciones de Tigo, recalcaron que la ciberseguridad es tarea de todos y que cada organización debe establecer una estrategia de gestión de incidentes, recuperación ante desastres y priorización de los activos críticos.
Un diagnóstico de Tigo Business a más de 350 empresas de la región centroamericana revelan diversos tipos de vacíos:
—35% de las empresas no cuentan con protección de seguridad en sus computadores.
—35% de ellas no tiene protección adecuada en los sistemas que operan desde las nubes públicas y privadas.
—49% de los usuarios privilegiados de estas compañías no cuentan con la protección adecuada para garantizar la gestión de los sistemas críticos.
—49% carece de seguridad para las comunicaciones remotas.
—78% de las organizaciones no tienen una estrategia y herramientas de protección de fuga de información confidencial.
El informe de riesgos globales del Foro Económico Mundial estimó los daños por los delitos cibernéticos en $6.000 millones en el 2021. Asimismo, PwC reporta que el 70% de las empresas encuestadas experimentaron nuevos incidentes de fraude desde 2020.
¿Qué seguridad brindan los operadores?
Los operadores y proveedores de Internet (ISP, por sus siglas en inglés) aseguran que implementan estándares internacionales y realizan monitoreo de sus redes tratando de identificar, adelantarse y proteger las mismas redes ante comportamientos anómalos.
Cabletica Movistar indica que cumple con los parámetros de seguridad informática establecidos por Liberty Latin America para todas sus operaciones en la región. En el caso de Telecable se utiliza un script base de seguridad para los servicios brindados que permite disminuir los riesgos.
LEA MÁS: 10 pasos básicos de seguridad informática en las pymes
Telecable utiliza para los servicios brindados un script base de seguridad que permite disminuir los riesgos de acceso a los equipos responsabilidad de la empresa y, además, se cuenta con una plataforma de monitoreo para comportamientos anómalos.
El Instituto Costarricense de Electricidad (ICE) indicó que usa “los mejores controles de seguridad” para los dispositivos de cliente final y monitorea los enlaces nacionales e internacionales.
Firmas como Tigo y Cabletica Movistar brindan servicios a empresas de diversos sectores (banca, industria, comercio y gobierno, entre otros). Tigo, por ejemplo, tiene más de 63.000 dispositivos desde su Security Operations Center (SOC), certificado con las normas ISO 27001 e ISO 20000, en más de 350 empresas de nueve países.
| Servicios de operadores |
|---|
| Servicios de protección informática que brindan operadores a empresas: |
| Cabletica - Movistar |
| Canales seguros: un firewall administrado por expertos que se coloca en las oficinas del cliente y donde se protege la red de intrusos, spam y posibles virus. |
| Protección desde la misma red: control de la utilización de las aplicaciones y sitios de Internet a los que los colaboradores internos tienen acceso. |
| Reporte mensual de los ataques detectados, así como de la utilización de la red. |
| Servicios especializados: como protección ante ataques de denegación de servicio, análisis de Deep-Web y Dark-Web para detectar filtraciones de información en canales ocultos de Internet. |
| Servicios de seguridad en las plataformas telefónicas para evitar hackeos en la cantidad y destinos de llamadas internacionales. |
| Apoyo en la generación de planes de respaldo y de recuperación en caso de desastres para el manejo seguro de los datos. |
| Tigo |
| Cuenta con un área especializada enfocada en proteger y resguardar la infraestructura e información de las empresas, bajo una gestión estratégica de la seguridad informática |
| Portafolio completo de soluciones y servicios integrales de seguridad informática que van desde el diagnóstico, remediación, operación y mantenimiento para pequeñas, medianas y grandes empresas tener medidas preventivas y proactivas contra posibles ataques cibernéticos. |
| Fuente: Empresas consultadas |
Certificaciones para empresas
No se puede garantizar nunca una eliminación completa del riesgo, en particular porque los ciberdelincuentes como Conti son altamente profesionalizados y hasta cuentan con estructuras corporativas y porque la seguridad informática es un proceso continuo que requiere una estrategia de corto, mediano y largo plazo que ayude a prevenir, detener y recuperarse ante un incidente.
La mayor vulnerabilidad, además, es la confianza. “Cada cliente debe contar con sistemas de defensa propios. Como ISP no podemos estar manipulando el tráfico de acceso de ellos”, recordó Christian Chinchilla, terente CORE y de preventa de Telecable.
Las empresas deben establecer sus propias estrategias de seguridad informática utilizando normas y modelos como los 18 Controles de Seguridad Crítica del Center for Internet Security, un conjunto prescriptivo y prioritario de mejores prácticas en seguridad cibernética y acciones defensivas. También están la guía Cybersecurity Framework, del National Institute of Standards and Technology (NIST) de Estados Unidos, y las normas ISO 27001.
El Instituto de Normas Técnicas de Costa Rica (Inteco) cuenta con siete certificaciones ISO para que las empresas puedan establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información. La entidad indicó que las normas incluyen los requisitos para la evaluación y tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización.
| Normas |
|---|
| 20 normas técnicas en Inteco, sobre diversos temas enfocados en la seguridad de la información, que son guías para las empresas que quieran adoptar buenas prácticas: |
| 27001:2014 — Sistemas de gestión de la seguridad de la información. |
| 27009:2020 — Seguridad de la información, ciberseguridad y protección de la privacidad; es una aplicación específica por sector de la norma INTE/ISO/IEC 27001. |
| 27102:2020 — Gestión de la seguridad de la información, que incluye directrices para ciber-seguros (pólizas de seguro relacionadas con ciberseguridad). |
| 21188:2021 — Marco de referencia para prácticas y políticas de infraestructura de llave pública para servicios financieros. |
| 27100:2021 — Visión general y conceptos de ciberseguridad en tecnología de la información. |
| 21878:2020 — Directrices de seguridad para diseño e implementación de servidores virtualizados. |
| 27036-1:2020 — Seguridad de la información en las relaciones con los proveedores. |
| Fuente: Inteco |
Medidas básicas en empresas y hogares
Las medidas de sistemas de seguridad en la red y las recomendadas para susciptores residenciales y empresariales, incluyendo micro y pequeñas empresas, se enfocan en disminuir los riesgos y los ataques cibernéticos.
¿Qué debemos hacer desde nuestras casas y empresas? En primer lugar, tener conciencia de las amenazas existentes cuando se abre un mensaje desconocido o se navega en sitios web de alto riesgo. Según el último informe de Verizon el 18% de los ataques tienen origen en los usuarios internos de manera involuntaria.
Debemos, además, adquirir el hábito de buenas prácticas, como por ejemplo activar la doble autenticación en las cuentas bancarias, correo electrónico y redes sociales. Solo son unos pocos minutos para hacerlo.
Esa conciencia y esos hábitos también incluyen tener cuidado en cuáles redes nos conectamos con los dispositivos sensibles, personales y de la empresa, uso de antivirus de marcas reconocidas en el mercado, paredes de fuego (firewall) para tener un canal seguro a las aplicaciones y no utilizar sistemas y equipos no licenciados.
LEA MÁS: Ataques cibernéticos aumentaron contra empresas e instituciones en Costa Rica
La protección se complementa con procesos de actualización y parcheado de software y sistemas operativos de servidores (físicos o en la nube) y computadoras personales o de las empresas. Se debe recurrir también a mecanismos de cifrado de discos duros, políticas internas, identificación de accesos y roles de usuarios en las redes (que deben estar segmentadas), autorización de conexiones cruzadas, control de cambios, protección contra intrusos y filtros de contenidos web.
Es indispensable, además, el entrenamiento de los colaboradores en el manejo de información y contraseñas, clasificar la información (confidencial, de manejo público, información de usuarios, por ejemplo) para permitir un manejo adecuado de cada tipo de datos.
Las empresas también deben realizar pruebas de vulnerabilidades constantes de sus sitios públicos, canales de atención y red interna para detectar fallas en la seguridad. No está mal que recurran en forma periódica a pruebas de ethical hacking para descubrir vulnerabilidades.
Deben contar, asimismo, con estrategias de seguridad de nube, tomando en cuenta que este tipo de servicios son compartidos con otras compañías, y planes de respaldos frecuente y de manejo y resguardo adecuado de estos respaldos.
La tarea no termina ahí: también se debe diseñar, implementar y probar un plan de recuperación en caso de desastres, que permita un rápida restablecimiento de los servicios en caso de verse comprometidos.
Y no abra mensajes ni descargue archivos de desconocidos ni regale sus contraseñas o claves a nadie. Recuerde siempre que ni se deben dejar puertas abiertas ni las llaves de su casa o de su automóvil pueden quedar por ahí y menos se entregan a desconocidos.