Revista Gerencia Edición Agosto 2018
Especial CIBERSEGURIDAD
http://www.emb.cl/gerencia/articulo.mvc?xid=4520
El ataque al Banco de Chile en mayo se convirtió en un fuerte llamado de atención para las empresas chilenas en general, no solo financieras, las que con este grave caso, volvieron a pensar en la seguridad de sus sistemas. Revista Gerencia reunió a diversos representantes de la ciberseguridad para analizar cómo las entidades pueden protegerse ante verdaderas organizaciones criminales.
El 24 de mayo pasado, Banco de Chile sufrió un ataque con un virus que causó la caída de sus sistemas, afectando las operaciones físicas y electró- nicas de las sucursales y de la plataforma de pagos internacionales. Y como si esto fuese poco, reportó a la semana un posible “lavado de dinero” a la policía de Hong Kong, hasta donde habrían llegado unos US$8,5 millones y 2 millones de euros. Tras este caso, el interés por la ciberseguridad en Chile ha vuelto a entrar en ascenso, respondiendo a una de las características más reconocidas del mercado local: la reacción más allá de la prevención.
Según Alejandro Susa, Líder de Ciberseguridad de everis Chile, “nadie hace caso hasta que se produce algo grande. Entonces todos compran cajas que finalmente no saben para qué sirven. A raíz de ello, este 2018 se notará una fuerte inversión en hardware y consultoría, pues no hay suficiente conocimiento para implementar una arquitectura de ciberseguridad”.
Héctor Moyano, Gerente de la Vertical de Gobierno de Check Point, concuerda y afirma que la coyuntura y la voluntad política hacen que en Chile no solo haya una preocupación, sino que también una necesidad por invertir en seguridad informática. “El dinero hoy es un dato que está en un PC, por lo tanto, es hackeable. Nuestra fortuna está basada en un dato que reside en un sistema naturalmente inseguro”, indica.
Para Leonardo Torres, Gerente de Estrategias Técnicas de Microsoft Chile, en naciones en guerra, incluso en Colombia debido a la guerrilla, hay un nivel de conciencia mucho mayor respecto al tema de ciberseguridad; “tienen en el ADN el tema del espionaje, hoy ciberespionaje, y por ende, su conciencia es mucho mayor. Por ejemplo, hace varios años que en Colombia existe el Ministerio de Ciberseguridad, mientras que en Chile, aún no se ve como algo esencial en la transformación digital”.
Según un reciente informe de la OCDE, la inversión promedio en ciberseguridad entre los países que la componen alcanza el 0,12% de sus respectivos PIB. Por su parte, la inversión en Chile alcanza 0,07% del PIB, o unos US$187 millones por año. Y aunque el nivel de inversión es notoriamente inferior al promedio de la OCDE, hay consenso en que el negocio de la ciberseguridad en Chile va en alza.
“Concuerdo con que la inversión en Chile es lenta, pero no diría baja. Como fabricante, veo que gran parte del negocio está en Chile. Hay otros fabricantes que están aterrizando en nuestro país con su casa matriz pues, en la práctica, el negocio está aquí.
Es acá donde vemos una demanda potente y eso no ha cambiado en los últimos cinco años”, señala Roberto Moreno, Regional Manager para el Cono Sur de A10 Networks. En este sentido, pese a que el mercado nacional es altamente atractivo, muchas veces los clientes caen en el error de adquirir cajas sin una visión integral de seguridad informática. “La tecnología sobra, la oferta sobra, pero basta un click de un usuario en un link desprotegido y todo se desmoronó”, comenta Pedro Oyarzún, Gerente General de Egs.cl.
En este sentido, cobra relevancia el rol del CISO (Chief Information Security Officer o Director de Seguridad de la Información), tanto desde el aspecto técnico -cuál es la estructura técnica que se montará- como desde el aspecto estratégico -contar con las herramientas y el lenguaje para llegar con su discurso hasta la alta gerencia-.
Si bien hoy los encargados de ciberseguridad entienden más del negocio que antes, a juicio del ejecutivo de Check Point, “el hecho de que usemos lenguajes crípticos y que la ciberseguridad aparezca como algo utópico e inalcanzable, hace más difícil lograr que el CISO llegue al gerente general o al directorio y que pueda explicar su planteamiento en palabras simples”.
Una visión similar comparte Óscar Núñez, Subgerente Comercial de AdvanSolution, quien afirma que “cometemos el error de no contar lo que nos pasa; no tenemos una instancia para compartir experiencias, para decir qué nos pasó y cómo resolvimos ciertos problemas. Eso serviría para generar conciencia. Estamos en una cultura de secretismo que nos hace mal a todos”.
En junio pasado, entró en vigencia en la Unión Europea el Reglamento General de Protección de Datos (GDPR, por su sigla en inglés), un estricto marco regulatorio relacionado con la responsabilidad corporativa en protección y manejo de los datos de sus clientes y usuarios. En tanto, hace varios años que se estudia en nuestro país una nueva Ley de Protección de Datos Personales que, además de crear un organismo regulador, obligaría a las empresas, que se vean afectadas por fugas o robo de datos personales, a informar a dicho organismo y al público en general.
Para Carlos Jaureche, Gerente Comercial de Security Advisor, el enfoque de esta regulación es correcto, aunque no suficiente. “La normativa establece, además, multas en función de qué tan proactiva fue la empresa en tratar de prevenir una fuga, pérdida o robo. Si tenía implementadas todas las medidas y por una causa indeterminada se filtraron los datos, la multa será menor”.
En tanto, Francisco Fernández, Gerente General y socio fundador de Avantic, afirma que los cambios normativos no están moviéndose a la velocidad con la que se desarrolla el cibercrimen. “Estamos hablando, así como lo hace el mismo FBI, de organizaciones de cibercriminales. Hoy hay muchas entidades criminales cambiando su giro desde el tráfico de drogas al crimen informático, no solo porque es un negocio mucho más rentable, sino porque además las regulaciones son más deficientes”, señala. “Lo que ocurrió con el Banco de Chile fue responsabilidad de bandas de cibercriminales que han venido atacando desde Europa a Sudamérica. Hoy, no son estudiantes que están en un garaje tratando de meterse a un sistema; buscan dinero, y bajo ese concepto, la gente debe prepararse para enfrentar estas situaciones”, añade.
Una visión similar comparte el ejecutivo de Microsoft, quien habla de “empresas” de cibercriminales formadas por 2.000 a 3.000 personas. “Es decir, son 3.000 mentes tratando de destruir una organización. No hay cómo enfrentar eso”, dice Leonardo Torres, quien agrega que la visión de las áreas de TI respecto a la seguridad ha cambiado y hoy se nota mucho más interés por estar a la vanguardia en soluciones de este tipo. Para Jaime Zapata, Gerente General de Rieltec, hoy nos encontramos en un momento clave para el mercado de ciberseguridad en Chile. “Si uno mira hacia atrás, no hay mucho que hacer. Efectivamente la inversión ha sido baja, pero la tendencia es creciente y eso es relevante, pues tiene que ver con la percepción de valor de parte de los clientes, quienes por mucho tiempo vieron la inversión como retorno cero. Por lo tanto, estamos en un punto de inflexión. La ciberseguridad es una necesidad que está instalada”, asevera.
En la medida en que aumentan las amenazas informáticas, se incrementa también la necesidad de contar con profesionales disponibles con las competencias adecuadas, tanto para los proveedores como para los clientes. Al respecto, Claudio Zapata, Country Manager de ScanSource, ve una necesidad urgente: “De 1.000 profesionales TIC que buscan trabajo, solo un 3,6% tiene experiencia y certificaciones en ciberseguridad. Y si bien ya hay carreras en esta temática, hay todo un trabajo por hacer para no tener que esperar que en 4 o 5 años más se titulen estos primeros profesionales”. Y aunque la alianza entre los privados y la academia no deja de ser beneficiosa, salen a relucir los resquemores referentes al rol de las empresas en dirigir, de algún modo, el conocimiento de los alumnos, lo que inevitablemente hace que egresen formados bajo una sola tecnología.
En este sentido, Héctor Moyano destaca que los requerimientos por profesionales capacitados han alcanzado niveles críticos. “Si nos remitimos a las entidades que se deben regir por Convenio Marco, hay 860 organismos, y si pensamos en que cada uno requiere un CISO, necesitaríamos 860 profesionales, que no tenemos”, señala.
Por su parte, Carlos Tondreau, Client Security Manager de Dimension Data, menciona que “en los últimos dos años, hemos visto un evidente aumento en la responsabilidad en materias de ciberseguridad por parte de los encargados del área de redes y comunicaciones. El tradicional rol de administrador de controles de seguridad que antiguamente tenía el CISO ha ido pasando al área de redes”, agrega. A juicio del ejecutivo, este fenómeno ocurre por la responsabilidad inherente que tiene esta área en la continuidad de los servicios básicos de TI, y en la distancia que toma el CISO al centrarse ahora en las definiciones de las políticas en seguridad. Asimismo, el ejecutivo de A10 Networks se refiere a la brecha entre la profundidad de conocimiento con que egresan los alumnos, las reales necesidades y las nuevas áreas de negocios surgidas a raíz del auge del cibercrimen. En este sentido, explica el alcance de las nuevas pólizas de seguro contra ataques cibernéticos, muy de moda en países como Chile y Colombia.
“Este seguro necesita de la figura del ‘liquidador de seguros’, quien debe ser una persona externa (es decir, ni fabricante ni integrador) y garante del análisis forense necesario para valorizar las pérdidas y determinar el monto de pago de la póliza. Hemos visto un aumento gigante en la venta de pólizas de ciberseguridad, por lo que hay una creciente demanda por empresas independientes que puedan proveer el servicio de análisis forense”, detalla.
Otra nueva área de negocios es la de “CISO as a Service”, que, a juicio de Carlos Jaureche, es una solución efectiva para aquellas empresas que, ya sea por tamaño o giro, no necesitan desarrollar una completa área de ciberseguridad para estar protegidas. “Hay empresas en que sí se justifica, mientras que en otras, definitivamente no. Ahí es donde estamos generando esta oferta de valor como CISO as a Service, y proveemos los profesionales que pueden cumplir con esa función en una organización”, añade.
Ataques informáticos como el ejecutado al Banco de Chile son planeados durante mucho tiempo por organizaciones profesionales que invierten tiempo y recursos en este tipo de operaciones. No obstante, más del 80% de los incidentes de seguridad es por falta de concientización, tanto del empleado como del proveedor que se conecta a esa infraestructura.
“Incluso en un celular un usuario tiene muchas cuentas a través de las cuales no es muy difícil entrar a los sistemas de una corporación”, comenta el ejecutivo de Microsoft. “Entonces, un área de seguridad debe hacer un mapa de servicios de dependencia de cada uno de los ‘end points’ a través de los que los cibercriminales podrían entrar, y eso no lo tiene. Como empresas TI, nosotros debiésemos inculcar más a las compañías de lo riesgoso que es, cómo deberían hacerlo a futuro y así no seguir teniendo catástrofes”.
A juicio de Patricio Araya, Gerente de Proyectos de Tecnovan, “la seguridad de los datos tiene que ser auto-orquestada y tener una mirada de 360°. En otras palabras, a nivel de la red, del ‘end point’ y, ahora, a nivel de nube. Hay que tener tres focos para ver el panorama completo”.
Sin duda, esa recomendación resulta clave, pero al momento de plantear nuevas inversiones en tecnología, es común encontrarse con el ‘fantasma de los costos’ que lleva a las empresas a preferir optar por pólizas de seguros, por las que se pueden llegar a pagar primas muy altas, pero a costos inferiores de lo que significa añadir más capas de seguridad a sus operaciones. En este sentido, y pese a que la inversión en ciberseguridad en Chile es creciente y exponencial, más allá de llenar una sala con cajas que prometen el resguardo suficiente para las operaciones de una empresa, es imprescindible contar con la seguridad de que el factor humano también debe ser un eslabón de preocupación y acción.