“La ciberseguridad se considera como uno de los aceleradores de innovación más poderosos que jugarán dentro de la transformación digital mundial”.
El panorama mundial de la ciberseguridad es muy desigual, pues dependiendo del país y de los modelos de negocio, la forma en que se tratan los incidentes de seguridad es un tanto diferente. No así en su vertiente correctiva, sino en la preventiva o proactiva. Es decir, existe mayor preocupación en sectores financieros y gubernamentales por la seguridad, que, en muchos de los sectores privados, por ejemplo, manufactura.
Un claro ejemplo lo encontramos en el apartado de la concientización y capacitación de los usuarios finales. O en la sensibilización de ciertos comités directivos en lo referente a la inversión de la corporación en la cuestión de la ciberseguridad.
Por otra parte, si añadimos la incorporación exponencial de nuevos elementos a una red ya compleja de por sí, el resultado es una progresión de riesgos y brechas de seguridad no gestionados. Nos encontramos ante un terreno abonado para el natural desarrollo del cibercrimen, que dará un salto cuántico debido a su avidez por monetizar cualquier tipo de dato interesante para terceros. En este sentido, la maduración de su “modelo de negocio” conllevará a un entramado más complejo de socios, colaboradores y mercado objetivo, cuyo interés catalizará la diversificación de dicha actividad.
Al final del camino, tal y como señala IDC en sus más recientes estudios, la ciberseguridad se considera como uno de los aceleradores de innovación más poderosos que jugarán dentro de la transformación digital mundial.
Soluciones para detener los ataques cibernéticos
Una cosa es detener los ciberataques y otra cosa es defenderse o reaccionar ante ellos. Desde nuestra perspectiva, aconsejamos a nuestros clientes mantener una actitud preventiva. Nosotros abogamos por Gestionar el Riesgo, es decir, analizar las etapas de
detección de vulnerabilidades de nuestros sistemas, probabilidades existentes de ataque a los mismos y prever el impacto que estos ataques pudieran causar en nuestro negocio.
Paralelamente, y a otro nivel, debiéramos establecer las etapas que nos posibiliten establecer las diferentes capas de defensa de la información en todo su ciclo de vida, de nuestras infraestructuras a nivel perimetral, la continua monitorización de las señales y alarmas de los sistemas, aplicación de la necesaria inteligencia cibernética, entre otras. Estos requerimientos se pudieran complementar con la imprescindible gestión de los procesos que nos lleven al análisis del riesgo y propicien la continuidad del negocio.
Manejar los riesgos en seguridad cibernética, es estructurando las herramientas específicas de defensa para los niveles que componen los elementos de infraestructuras de seguridad. Además, dotando a nuestra área de sistemas de información del personal suficientemente capacitado, para dar respuesta a las necesidades de cada momento. Otro nivel de protección consiste en la capacitación de nuestros usuarios informáticos, en muchas de las ocasiones, el eslabón más débil en la cadena.
Aplicando sanciones
En cuestión legal, la aplicación de sanciones cuando se incurren en este tipo de delitos, en el caso específico de México y España, está directamente relacionada con la legislación vigente en cada país. Por ejemplo, en España, y en toda la Unión Europea, se implantó el GDPR, Reglamento Europeo de Protección de Datos, mediante el cual, los agentes responsables de los organizaciones y empresas están sometidos a la aplicación de fuertes sanciones administrativas en caso de infringir las normas recogidas en el mismo. Estamos hablando de que los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual.
En el caso de México, gracias a la disposición de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, las multas y sanciones no se hacen esperar tampoco. Afortunadamente hay una estrecha relación entre la ciberseguridad y la aplicación de la ley, a través de controles específicos que, incluso, nos permiten crear un Sistema de Gestión de Protección de Datos Personales que se integra de maravilla con estándares como el ISO 27001.
Cultura corporativa
Podemos abordar el tema de la ciberseguridad de un modo proactivo, y apoyado totalmente, sin fisuras, desde los máximos órganos de decisión de la empresa u organización. A través del tiempo, los modelos de negocio
están basados en las tecnologías de la información, que se convierte en una revolución necesaria para la competitividad del país y abordar la digitalización de nuestros procesos de negocio. Como consecuencia, la seguridad de éstos pasa a ser una máxima prioridad para la continuidad del negocio.
El apoyo debe venir por la incorporación de un/a director de seguridad informática a la organización y sentarlo en la mesa de dirección, dotarle del presupuesto preciso para alcanzar sus metas de aseguramiento de los sistemas y, por último y no menos importante, dar un paso que propicie la capacitación y sensibilización de todos los usuarios en la seguridad informática.
Por: Octavio Silva, Director General, Mxtel Ingeniería y Consultoría;
con la colaboración especial de Juantxu Mateos, Director Internacional de Desarrollo de Negocios.
