A diario las organizaciones de los sectores financiero, retail, energía y Gobierno reciben miles de ciberataques debido al gran valor de la información que manejan. Algunos de estos ataques generan situaciones de alto riesgo que afectan la operación y la reputación del negocio. Por eso, es urgente que inviertan más en la protección de sus datos.

Un entorno con más riesgos

La digitalización de los servicios públicos y privados en el Perú crece a un ritmo importante. Según el E-Government Survey 2018, el país subió 46 puestos en el indicador de desarrollo de Gobierno electrónico, desde el 2016. Asimismo, el comercio electrónico aumentó un 27 % durante este tiempo, y se convirtió en el avance más importante de Latinoamérica.

En la actualidad, la mayoría de bancos, financieras y cajas municipales manejan diversas canales digitales, entre ellas banca por internet, banca móvil, cajero automático, cajero corresponsal y billetera electrónica. Desde el primer día de su implementación, estos canales son atacados por cibercriminales que identifican vulnerabilidades para ingresar de manera no autorizada. En esta situación, la aplicación de estrategias de ciberseguridad no es tarea fácil.

Las principales amenazas

La falta de parches de seguridad puede durar más de cuatro meses y representa una ventana abierta para los ciberdelincuentes. En el 2017, solo los virus Wannacry y NotPetya causaron en el mundo pérdidas superiores a 4 billones de dólares y 850 millones de dólares, respectivamente, debido a que no se aplicaron los parches de seguridad correspondientes.

El país no cuenta con los suficientes especialistas en ciberseguridad. Sin embargo, los criminales y Gobiernos que organizan ciberataques cuentan con los recursos suficientes para diseñar estrategias muy sofisticadas y el tiempo necesario para ingresar a cualquier organización. Según F-Secure, los Gobiernos que distribuyen más malware sofisticado son China, Rusia y Corea del Norte.

Otro factor clave es la transformación digital y la innovación. Los constantes cambios disminuyen los controles de seguridad y le brindan más importancia a la agilidad, usabilidad y funcionabilidad de los sistemas. Toda tecnología emergente que ingresa a una organización posee una configuración muy débil y fácil de explotar para los que atacan.

Ciberhigiene en las organizaciones

De acuerdo a su naturaleza, las organizaciones deben aplicar ciertos requisitos de seguridad que cumplan los estándares ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 o PCI DSS para reducir la materialización de ciberamenazas. La primera acción es elaborar un inventario de hardware y software de la compañía para conocer el alcance real de los activos digitales críticos.

Otra estrategia es la adquisición e implementación de tecnologías como firewalls, sistemas de prevención de intrusos, sistemas de integridad, prevención de perdida de datos (DLP) o seguridad del punto final. Además, se debe entrenar a los colaboradores para reconocer las ciberamenazas e identificar ataques de phishing y ransomware, así como separar los activos críticos en un segmento más seguro que el resto.

La organización también debe preocuparse en crear un equipo de especialistas y proveedores de ciberseguridad para defender y probar la seguridad de sus controles. A su vez, debe aplicar líneas base de seguridad a los servidores y capacitar a los desarrolladores para aplicar las mejores prácticas de la industria en el código. Es clave que aprendan a pensar como los atacantes para identificar riesgos antes que ellos.

Todas estas medidas deben ser prioridad para las organizaciones que deseen mantener su ventaja competitiva, excelencia operacional y supervivencia en un entorno cambiante. El Gobierno, las empresas y la Academia deben establecer líneas de comunicación y colaboración para enfrentar todo tipo de ciberataques a la industria y al país en general.