La ciberseguridad es un requerimiento cada vez mayor en los sectores públicos y privados. Se espera que para el cierre de 2021 existan daños a la economía global alcanzando los 6 mil millones de dólares. Este riesgo es cada vez más alto y representa un impacto no sólo desde el punto de vista económico, sino también en daños en la propiedad intelectual de las empresas y gobiernos.

Se ha incrementado en los últimos dos años debido a la necesidad del trabajo remoto de millones de trabajadores, lo que ha creado la necesidad de definir estándares adecuados para garantizar la confidencialidad de la información y la infraestructura física.

Existen casos de violaciones a la seguridad de las redes de empresas, gobiernos y universidades en todo el mundo. Adicionalmente, se espera que los delitos informáticos sean más rentables que los delitos transnacionales globales combinados. Incluso, el desarrollo de las vacunas contra la Covid-19 ha sido ejemplo de los ciberataques. Durante febrero de 2021, ciberdelincuentes atacaron el departamento que trabaja en el desarrollo de las vacunas de la Universidad de Oxford, según Forbes.

Adicionalmente, más de “80 por ciento de los eventos de ciberseguridad involucran ataques de phishing”, según CSO online. Este tipo de ataques están dirigidos a las cuentas de correos electrónicos tanto de empresas como personales. Con lo cual muchas veces los delincuentes obtienen datos de las cuentas bancarias, afectando también al sistema financiero. De hecho, Google descubrió 2.1 millones de sitios de phishing en enero de 2021. Representan la mayoría de los ataques que afectan tanto a las personas como a las empresas, generando grandes pérdidas de dinero.

Según la Universidad de Maryland, existen 2 mil 244 ataques por día. Probablemente los ataques más conocidos fueron realizados a las empresas Yahoo y Facebook. En el caso de Yahoo, más de “3 mil millones de cuentas de Yahoo se vieron afectadas en 2013”, según el New York Times. Las pequeñas y medianas empresas no están exentas de estos ataques: “43 por ciento de todos los ciberataques se dirigen a pequeñas empresas. Estos ciberataques incluyen (64%) ataques basados en la web (62%), ataques de phishing (51%), ataques de denegación de servicio y (59%) códigos maliciosos” (Cybintsolutions).

Ahora bien, es importante centralizar los esfuerzos en la seguridad de las redes y de la información. Incluso los operadores móviles han sido objeto de estos ataques a la seguridad de las redes. También ha crecido la necesidad de alojar en la nube información crítica de las empresas, por lo que los centros de datos que componen la infraestructura digital requieren cumplir estándares de seguridad de las redes. Y contar con una organización que certifique el cumplimiento de los estándares, con el objeto de reducir los riesgos e incluso las posibles acciones legales que puedan ejercer los clientes de las empresas.

Desde IFGICT (International Federation of Global and Green Information Communication Technology) se ha anunciado recientemente la publicación de su nuevo estándar de ciberseguridad. IFGICT es una organización independiente que toma la iniciativa y establece estándares de la industria de las Tecnologías de la Información y Comunicación, basada en Estados Unidos, con sedes en Suiza, Jordania y Brasil. IFGICT trabaja con organizaciones internacionales como la Organización de Naciones Unidas (ONU), la Unión Internacional de Telecomunicaciones (UIT) y el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE).

Los estándares de IFGICT están basados en los sistemas de gestión interna (IMS, por sus siglas en inglés) o el sistema de gestión del medio ambiente (EMS, por sus siglas en inglés). Están desarrollados en cuatro áreas fundamentales: estándares de seguridad o ciberseguridad, estándar de Tecnologías de la Información y Comunicación, estándar de Tecnologías de la Información y Comunicación aplicado a los centros de cuidados de la salud y estándares de tecnologías verdes.

El estándar de ciberseguridad de IFGICT les permite a las empresas contar con una certificación sobre sus procesos, tener un control y balance de los acuerdos de seguridad de la información y disminuir los riesgos para evitar que los piratas informáticos roben sus datos. Estas auditorías periódicas ayudan a exponer cualquier tipo de inseguridad o los resultados no deseados.

El proceso de acreditación desarrollado por IFGICT consta de tres etapas. La primera de un diagnóstico de los aspectos de seguridad que comprende un análisis de la estructura organizacional, los procedimientos y políticas de seguridad de la información y la infraestructura digital. La segunda etapa, un reporte del análisis de las brechas de seguridad identificadas, el cual corresponde una evaluación de la seguridad y la documentación asociada.

La última etapa corresponde a la evaluación de los aspectos asociados a las Tecnologías de la Información y Comunicación y entrevistas con el personal que gerencia la seguridad de la información en la organización. Esta etapa está centrada en determinar la calificación del personal asociado, los procedimientos de monitoreo y control y una evaluación completa del cumplimiento de las medidas de seguridad.

Al final del proceso, la evaluación y acreditación permite obtener una auditoría de verificación, reporte auditado, acciones de corrección y acciones de prevención. Focalizado en la verificación de los procesos y controles que permiten a la organización concentrarse en un sistema de información individualizado, acorde a su negocio. El período de tiempo de la acreditación se realiza de tres a cuatro semanas.

Los objetivos de la auditoría realizada por IFGICT se centran en comprobar que los controles internos existen y están funcionando como se espera, para minimizar el riesgo en el negocio utilizando KPIs para cuantificarlo. Estos objetivos de la auditoría incluyen el cumplimiento con los requerimientos legales y regulatorios, así como la confidencialidad, integridad y disponibilidad.

Los riesgos en la seguridad de la información, centros de datos propios o de terceros son cada vez mayores, por lo que contar con una certificación les permite demostrar a sus clientes la gestión eficiente de los riesgos. Posicionando a su empresa, productos y servicios en un mercado cada vez más competitivo, con un atributo adicional y muy valorado por los clientes, como lo es la seguridad de la información.