Gerencia y riesgo en ciberseguridad: Tomar decisiones conscientes y estratégicas

La Especialización en Gerencia Estratégica del Instituto Forum presentó el VII Fórum de Estrategia y Prospectiva: "Ciberseguridad como Parte de la Estrategia Empresarial", con la participación de Ariel Goldenstein.

En los últimos años, la ciberseguridad viene adquiriendo gran relevancia en el panorama mundial, debido a que los ataques informáticos son cada vez más comunes y, tanto empresas como personas, están expuestas con mayor frecuencia a los cibercriminales. Este es un punto más que claro para Ariel Goldenstein, Account Technical Leader ATL de IBM y asesor en soluciones de ciberseguridad: "No es simplemente un ataque al mundo financiero; estamos hablando de impactar realmente a la ciudadanía".

Para afrontar y enfrentar estos ataques desde la estrategia empresarial, hay que tener algunos conceptos muy claros, que Goldenstein considera claves.

1. El Sistema de Gestión de Ciberseguridad de la Información (SGCI):

En este sistema están todas las políticas y los roles de la empresa con respecto a la seguridad de la información de la entidad. Según el experto, “Es fundamental para un buen ejercicio de seguridad informática. Es el corazón o la piedra fundacional de una compañía o entidad cuando comienza a diseñar una práctica real de seguridad".

2. Otro término es el ransomware o 'secuestro de datos':

Es uno de los ataques más utilizados por los delincuentes cibernéticos y un dolor de cabeza en el contexto empresarial y personal. Goldenstein explica que, si se es víctima de estos ataques, se analice si es posible seguir operando sin la información secuestrada o se investigue cómo quedó la entidad después del ataque. En pocas palabras, se debe contar con un plan para reaccionar después del incidente. Según Goldenstein, este es uno de los principales fallos en las empresas: "La mayoría de las compañías que uno cree que están maduras no tienen definido un plan de respuesta a estos incidentes"

3. Esto nos lleva a otro concepto llamado tríada de seguridad, el cual se basa más que nada en tres enfoques:

La confidencialidad, la integridad y la disponibilidad. La primera se trata del manejo de datos, la segunda sobre la su veracidad y no alteración, por último, el tiempo o en qué casos las personas ajenas a la entidad podrán ver los datos. Para Goldenstein, es importante que “Solo las personas autorizadas tengan acceso a la información, es decir, que no cualquiera pueda acceder a los datos".

4. Por otro lado, se debe considerar el concepto cadena de ataque o movimiento lateral:

basado en que, después del ataque, el agresor buscará multiplicar el malware en todos los equipos de la empresa. "Hay un promedio de aproximadamente 200 días en que somos atacados y no nos dimos cuenta, porque lo que quieren los hackers, de alguna forma, es primero entrar y conocer la empresa sin que nadie los detecte. El segundo paso después de entrar es moverse en forma lateral, es decir: entrar a una máquina y moverse a la de al lado, porque, si son descubiertos en la anterior, ya estarán replicados en todos lados.

Esa es la visión finalmente de una cadena de ataque", explicó. Estos son conceptos que deben ser muy bien entendidos por un gerente a la hora de velar por la seguridad informática de la empresa. Sin embargo, para Goldenstein, la ciberseguridad no es real; es solo percepción: "No existe la ciberseguridad como tal; solo existe la sensación de que se está seguro porque a conciencia se procede con acierto”. Algunas de las palabras de Goldenstein más útiles para una organización son: "No puede hablarse de seguridad sin relacionar la palabra ‘riesgo’.

Esto se refiere a la hora de decidirse por una base de datos u otra, o por la escogencia de algún tipo de nube. Siempre se deben considerar los contras para estar preparados, en caso de que presenten”.