Conversación, análisis, plan de acción y de ahí generar capacidad para saber el nivel de exposición en los distintos ambientes de trabajo son los desafíos que presentan las entidades en materia de ciberseguridad, señaló a DPL News Juan Marino, gerente de Estrategia de Ciberseguridad para América Latina de Cisco. Consideró que, aún en un contexto de mayor consciencia, todos están expuestos y si alguien quiere atacar lo más probable es que lo logre: hay que prepararse y minimizar el daño.
¿Qué es la ciberseguridad para Cisco?
La ciberseguridad no es lo mismo que hace 10 años. Para nosotros transciende la definición que podes encontrar en Google, que puede ser que son procesos, herramientas y tecnologías para proteger activos o sistemas digitales. Eso es parcial, porque habla de la seguridad como el medio pero también es una cualidad, la de poder hacer algo con una percepción de la que el riesgo es aceptable. Si entras a un banco, te sentis seguro, porque hay muchos controles. En el ámbito digital es lo mismo, ciberseguridad es la cualidad que logra una entidad que desde la óptica del cliente o consumidor maneja bien sus datos, garantiza privacidad y, en definitiva, es digitalmente confiable. Eso es la ciberseguridad y, para lograrlo, está la otra parte, la de proteger sistemas digitales. Tomarlo seriamente es que el más alto nivel de una organización entienda todas estas dimensiones y lo vea como un aliado, como un elemento que te habilita a ser más competitivo en el negocio. Hoy un cliente elige a su proveedor también porque es confiable desde lo digital.
¿Cuáles son los tres desafíos más urgentes en materia de ciberseguridad?
Ya pasamos por la etapa de continuidad, de poder seguir trabajando en el contexto de pandemia, y podemos decir que fue un éxito porque las empresas siguieron funcionando pero eso nos trae un aumento del riesgo: algunas empresas lo saben y otras no. La prioridad es tener una conversación seria a todos los niveles para replantearse el riesgo actual y las condiciones que existen para gestionarlo. Primero el análisis, después el plan de acción por etapas, en la que la inicial es robustecer los controles de acceso, que hoy no pueden depender de un usuario y una contraseña. El tercero es capacidades para tener visibilidad y saber lo que está pasando en tu ambiente, que ahora no es solo una oficina. Esa capacidad te va a permitir saber si estás expuesto a riesgos muy grandes y luego monitorear para poder detectar y responder a tiempo.
La pandemia forzó a replantearse cosas. En las organizaciones en las que la ciberseguridad estaba un poco relegada se puede ver (al contexto) como acelerador pero en líneas generales no se avanza lo suficientemente rápido. Se habla de muchas cosas pero falta madurez
¿En qué aspectos considera que hubo avances y en cuáles retroceso en los últimos años en materia de ciberseguridad?
En general sí, hubo un avance. La pandemia forzó a replantearse cosas. En las organizaciones en las que la ciberseguridad estaba un poco relegada se puede ver (al contexto) como acelerador pero en líneas generales no se avanza lo suficientemente rápido. Se habla de muchas cosas pero falta madurez. Para cada caso hay un bagaje tecnológico que se puede aplicar y que puede funcionar a un costo razonable pero a ninguna entidad le sobra: falta plata, gente, talento, profesionales que sepan más allá de lo técnico y lo operativo. Falta una visión más estratégica, ese talento es más escaso. Entonces, al final, el cliente está un poco perdido. Ahí la importancia de las empresas como Cisco, que tienen un rol de consultores clave para definir la estrategia correcta.
Va a estar mejor protegido el recurso en la nube, sí, pero es relevante controlar el flujo de la información
¿Cuáles son las mejores prácticas para proteger servicios de nube cada vez más implementados en empresas?
La nube, con todos los beneficios que trae, no es intrínsecamente más segura. El proveedor de un servicio sí tiene excelente capacidad para resguardar esa infraestructura, seguro más que la empresa que contrata el servicio pero el problema es que la seguridad hay que verla en todo el trayecto: quién controla lo que estoy subiendo a la nube, cómo se comparte esa información entre nubes o entre usuarios y no hay que asumir que todo está resuelto por el proveedor de servicio. A veces está la ilusión de que como es en la nube está más seguro pero primero hay que cuestionar. Va a estar mejor protegido el recurso en la nube, sí, pero es relevante controlar el flujo de la información. Ahí es que son necesarias soluciones complementarias. Primero hay que hacer un análisis muy claro de arquitectura y después hay que implementar soluciones tecnológicas. La seguridad por DNS –Cisco tiene la solución Umbrella-, es una forma muy fácil y efectiva de tener un control de todo lo que va hacia Internet.
Se están creando propuestas educativas que apuntan a ese nuevo perfil, que debe entender qué pasa y asesorar al negocio para tomar las decisiones porque el que tiene el perfil tecnólogo a veces no sabe qué hacer; no todo se resuelve comprando tecnología
Con las nuevas formas de consumir servicios de seguridad, ¿las empresas necesitan contratar capacidades o talentos para tener sus datos más seguros?
Hoy todas las empresas son tecnológicas, todo está basado en procesos y tecnología. Entonces si vamos a las pymes de servicio, por ejemplo, todas la utilizan. Siempre tiene que haber alguien de tecnología. Si no se puede tener empleados, es necesario confiar en algún proveedor que te ayude asesorando, implementando y monitoreando, también manteniendo. Las grandes empresas sí tienen cada vez más gente. Lo que se está viendo en esos casos es que la ciberseguridad ya pasó a tener una entidad propia, paralela a TI, con línea de reporte directa al más alto nivel, lo que es síntoma de madurez.
Hay que reconocer que falta ese recurso, en un contexto en el que América Latina tiene 600 mil puestos vacantes por falta de talento. También hay un cambio en eso, históricamente la educación en ciberseguridad estaba orientada a saber operar tecnologías y ahora se ven aspectos técnicos, legales y muchas otras aristas. Se están creando propuestas educativas que apuntan a ese nuevo perfil, que debe entender qué pasa y asesorar al negocio para tomar las decisiones porque el que tiene el perfil tecnólogo a veces no sabe qué hacer; no todo se resuelve comprando tecnología. Hay que entender de una forma más macro la relación entre tecnología y negocio y qué es crítico y que no y también revisar los riesgos que se heredan de terceros: puedo proteger lo mío pero si tengo un proveedor que es parte de mi cadena de suministro y no tengo control sobre él puedo estar en problemas.
Hay una economía del cibercrimen que busca un esfuerzo redituable: es mejor atacar a un pez gordo que tenga activos que se puedan capitalizar. Hoy si alguien tiene la intención de atacar, están todas las posibilidades de que lo logre, entonces el tema es cómo lidiar con esa situación que va a ocurrir y minimizar el daño
¿Quiénes están más expuestos a los ciberataques: empresas, gobierno o personas?
Expuestos están todos por igual pero sí se puede analizar el riesgo. El riesgo lo podemos ver como una ecuación con variables como la vulnerabilidad, si hay una forma de atacar esa vulnerabilidad, si es probable que alguien me ataque y si en definitiva me genera un impacto, porque si no me hace nada no hay riesgo. De nuevo, expuestos están todos: personas, empresas y gobierno pero el riesgo es mayor en entidades más interesantes. Hay una economía del cibercrimen que busca un esfuerzo redituable: es mejor atacar a un pez gordo que tenga activos que se puedan capitalizar. Hoy si alguien tiene la intención de atacar, están todas las posibilidades de que lo logre, entonces el tema es cómo lidiar con esa situación que va a ocurrir y minimizar el daño. Si alguien se lo propone, va a lograr algo, porque es más fácil atacar que defenderse. Vemos como tendencia un mayor enfoque de los ataques a entidades a las que se puede sacar más rédito, antes era más irregular pero ahora están más dirigidos.
¿Cuál es la posición de América Latina en el contexto mundial?
No estamos tan lejos del resto del mundo. Hay algunos índices que lo miden y dentro de la región están bien posicionados, como Chile, Brasil, está heterogéneo. También es por olas, hay gobiernos que se enfocan en la transformación digital y luego se estanca un poco. No estamos ni mejor ni peor, lejos de sitios como Israel o Estonia que se sacan 10 en todo en materia de ciberseguridad, pero en general se observa falta de madurez. Como el cibercrimen está globalizado, porque da igual atacar a una entidad de cualquier sitio, los países menos preparado son más vulnerables.