Necesario capacitar y concientizar al personal en temas de ciberseguridad

0
231

Consultores en Seguridad de la Información (CSI), empresa mexicana con cerca de 10 años en el mercado de la ciberseguridad en México, inició operaciones ofreciendo servicios de consultoría, incluyendo diagnóstico, pruebas de penetración, análisis de vulnerabilidades, auditoría de cumplimiento, evaluación de personal con ingeniería social e implementación de mejores prácticas para la seguridad de la información.

De acuerdo con Jorge Osorio Bretón, cofundador y Director de Servicios de CSI, la compañía no comercializa hardware o software de algún fabricante. Simplemente se dedica al apartado de servicios consultivos, lo cual les permite acercarse a cualquier empresa y sector, incluyendo al industrial, con resultados completamente neutrales, permitiéndose así posicionarse en el mercado de seguridad de la información y ciberseguridad. 

“Adicionalmente a las Pruebas de Penetración e Implementación de Mejores Prácticas de Seguridad con base en estándares internacionales como ISO 27001 o CyberSecurity Framework del NIST, diseñamos y ejecutamos programas de concientización de seguridad en la información. Otros servicios más especializados en la parte consultiva que brindamos son análisis de riesgos en seguridad de la información, medición de impacto al negocio, alineación o implementación de mejores prácticas o incluso preparación para certificación en algún estándar internacional como puede ser ISO 22301 para continuidad de negocio y recuperación de desastres. Los últimos servicios que brindamos es análisis forense, de prevención de fraudes y somos parte de la gestión de incidentes de la seguridad de la información”.

De acuerdo con Osorio Bretón, la principal prevención de ataques contra el sector industrial radica en entender cuál es el papel que desempeña una organización o empresa en la sociedad. “Para el sector industrial, es necesario que prevalezca el punto de que juega un papel importantísimo en todo el apartado de cadenas de suministro. Algunos clientes nos comentan que sus servicios no podrían ser víctimas de atacantes y nosotros les pedimos que se den cuenta de lo importante que es el funcionamiento de la compañía. Empresas que se quedan fuera de la cadena de suministro por dos o tres meses, e incluso semanas, terminan afectado los precios. El principal peligro es que las organizaciones no se den cuentan del papel que juegan en el terreno comercial”.

En este sentido, aseguró que el primer sector en darse cuenta de la importancia de la ciberseguridad fue el financiero, el cual fue víctima de un ciberataque en 2018. El objetivo del ataque, de acuerdo con un reporte del Banco de México (Banxico) fue generar transferencias electrónicas de fondos hacia cuentas bancarias específicas, con el fin de sustraer ilegítimamente recursos monetarios. No se trató de un ataque al sistema central del SPEI, ni a alguna infraestructura del mismo, sino de un ataque en el que se comprometieron elementos de los sistemas de las instituciones financieras vulneradas, y dirigido particularmente a comprometer los sistemas para la generación y envío de órdenes de transferencias.

“El primer sector que entendió a golpes el tema de la ciberseguridad fue el financiero. Muchas empresas van aprendiendo de lo que sucede en el mundo o en la competencia. A partir de ahí se producen cambios y se genera interés en el tema de ciberseguridad. Los riesgos siempre han existido, desde el primer momento en que tuvimos el intercambio de datos a través de una red conectada. En los últimos 10 o 15 años todos los sectores se han interconectado de alguna u otra forma y la interconexión aumenta los riesgos en ciberseguridad”, dijo el Director de Servicios en CSI.

Osorio Bretón señaló que las cúpulas empresariales, desde el comité administrativo, directivo o la presidencia de una organización, deben adoptar medidas en favor de la seguridad de la información. En este sentido, los empresarios deben entender el concepto de ciberseguridad para prevenir cualquier ataque informático.

“No es una decisión que le competa a un área de sistemas. El concepto de ciberseguridad tiene que ver con tres temas fundamentales: herramientas tecnológicas (que son la base de la ciberseguridad); reglas para el uso de esas herramientas (políticas y procedimientos internos que pueda tener esa organización) y los seres humanos. Las organizaciones deberían invertir por igual. Sin embargo, en la actualidad y en el mejor de los casos, el 80 por ciento de las inversiones en ciberseguridad se concentran en la parte tecnológica y el 20 por ciento para las otras dos aristas. Por ello, los cibercriminales abusan de las dos últimas partes”.

En este sentido, señaló que en la mayoría de los ataques cibernéticos los piratas informáticos se aprovechan de la ingeniería social, a través de recursos humanos mal capacitados dentro de una organización para obtener credenciales o contraseñas, y enfatizó en que esta área debe recibir inversión para prevenir fraudes, extorsión o espionaje, “este es uno de los principales puntos que las empresas dejan de lado. Hace falta preparar a las personas. Las personas no están preparadas para detectar correos, páginas o llamadas falsas”.

Sobre el panorama del mercado de la seguridad de la información en México, aseguró que es complejo y desolador ya que el país se está convirtiendo en un “caldo de cultivo” donde los cibercriminales prueban nuevos métodos de ataque. “Los problemas del país se extienden al área de seguridad de la información. En algunas industrias privadas o en el sector financiero se toman muy en serio el sistema de seguridad de la información. Pero otros sectores aún no se han dado cuenta de la importancia de la ciberseguridad. Eso es lamentable. En el sector público continúan los fenómenos donde ya existieron ataques a distintas instituciones y se publica información confidencial de la institución. Estos incidentes seguirán”.

Para Bretón, otro objetivo es incorporar la seguridad de la información como parte de los presupuestos de las compañías: “Hay muchas empresas, pequeñas y medianas, que no alcanzan a creer que les puede suceder un incidente de ciberseguridad. El riesgo es latente. Cualquier organización, independientemente del tamaño o del sector, puede sufrir un ataque”, concluyó.

Artículo anteriorSupera México los 84 millones de usuarios de internet: ENDUTIH 2020
Artículo siguienteIndispensable contar con la participación de ingenierías para el desarrollo de la industria: Ford