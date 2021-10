No hay dudas de que la pandemia del coronavirus (COVID-19) ha tenido un fuerte impacto en todos los aspectos de nuestras vidas. Sin embargo, no todo ha sido negativo, de la mano de las restricciones de movilidad impuestas por las autoridades para contener este mortal virus vino un proceso de aceleración en la digitalización de un gran número de actividades.

De la noche a la mañana pasamos a trabajar, estudiar, comprar, vender, divertirnos e incluso compartir con nuestros familiares más cercanos a través de diversas plataformas digitales.

Según los especialistas, en el caso de América Latina y Panamá, la pandemia nos ha llevado a avanzar en los procesos de digitalización, lo que nos habría tomado aproximadamente 10 años.

Pero esto también implica que los riesgos se han incrementado. El número de ataques y delitos cibernéticos se han multiplicado exponencialmente y no cabe duda que las organizaciones deben prestar mayor atención a este fenómeno. Especialmente cuando parte importante de las operaciones de las empresas se desarrollan en este momento de forma híbrida.

Eso significa que parte del personal trabaja de forma remota o lo hace de manera presencial unos días y otros de forma virtual desde su hogar o desde oficinas compartidas. En todo caso, hablamos de un cambio significativo en el que muchas veces no se toma en cuenta que los riesgos de trabajar en una oficina o desde cualquier otro lugar son muy distintos.

Por ello Capital Financiero conversó con Luz Parias, Líder de Riesgo Cibernético de Marsh, para conocer cómo las empresas pueden hacer frente a esta nueva realidad y reducir el riesgo de incidentes que puedan afectar sus operaciones, su reputación, su rentabilidad y su sostenibilidad a largo plazo.

Y si algo nos queda claro es que este es un tema que no puede quedar en manos del departamento de Tecnología de las empresas, sino que forma parte de la planificación estratégica para garantizar el éxito de cualquier negocio.

-¿Tienen estudios sobre cómo se ha movido el empleo este año, es decir el trabajo hibrido y remoto con respecto al trabajo presencial?

-El COVID 19 obligó a las empresas al trabajo remoto o híbrido, y la mayoría de ellas no estaban preparadas para eso, así lo pudimos ver en la encuesta Estado del Riesgo Cibernético en Latinoamérica en tiempos de COVID-19, que realiza Microsoft junto Marsh anualmente y que el año pasado se hizo en el marco de la pandemia. Dicha encuesta, realizada en 18 países de América Latina, incluido Panamá; buscaba identificar el impacto que ha tenido el trabajo remoto en la gestión de ciberseguridad de las empresas.

Uno de los resultados es que en 27% de las organizaciones, los empleados hacían el trabajo remoto con equipo tecnológico propio, esto es algo preocupante, porque al ser equipos propios no se garantizan los niveles de seguridad mínimos establecidos por la organización, sino que queda a criterio de la capacidad económica de cada persona mantener el software actualizado, antivirus y demás.

Otros datos de la encuesta, son que el 12% de las empresas consideran una prioridad el tema de la ciberseguridad en el trabajo remoto, y el 24% aumentaron el presupuesto de ciberseguridad a raíz de la pandemia.

Esto nos da luces de que si bien no es un escenario ideal, las organizaciones han ido tomando conciencia sobre todo a nivel de presupuesto para que llegar a un nivel óptimo de seguridad.

-¿Cuáles son los principales riesgos que se encuentran en este trabajo remoto o híbrido en donde el trabajador muchas veces está en su casa y no tiene los respaldos de seguridad que tiene en la oficina?

-Dentro de los riesgos más relevantes que podemos mencionar están los problemas de fuga de información confidencial, alteración o manipulación no autorizada de datos, temas de suplantación o robo de identidad, ingreso a archivos no autorizados. No todas las empresas han implementado la doble verificación de identidad que es muy importante. También, está la interceptación de telecomunicaciones, pues no solo se trata del equipo o los archivos guardados en éste, sino que también hacemos llamadas telefónicas por este medio, y también es un tipo de vulnerabilidad.

Además, está la disponibilidad y de prestación de servicios. Si la conexión a Internet de la casa se cae, puede verse afectada la continuidad del servicio que debo prestarle al cliente.

-¿Cuál es el impacto que esto puede tener en la economía de una empresa?

–Lo primero que se viene a la mente de la empresa es el impacto financiero, y lo más relevante son las extorsiones, incumplimientos contractuales, gastos de recuperación de incidentes cibernéticos o recobros, la continuidad del negocio que puede afectar la rentabilidad.

Además, está la Ley 81 de Protección de Datos, que está rigiendo a partir de 29 de marzo, con la que se regula de cierta manera la responsabilidad civil por seguridad de datos, ya que a pesar que la Ley está muy inmadura y en sus primeros pasos, se van a comenzar a recibir o a incrementar las demandas por protección de datos personales.

Ahora bien, no menos importante es el impacto que causa a la marca en temas de credibilidad, que pueden afectar a largo plazo y que lleva a las empresas a invertir para para el manejo adecuado de la reputación.

-¿Cuáles son los pasos que tienen que tomar las empresas para que estos riesgos no se conviertan en un incidente de ciberseguridad?

–Hay diferentes caminos. En Marsh nuestra primera recomendación, y tenemos un equipo especialista que se dedica a eso, es hacer un diagnóstico de ciberseguridad para saber en qué nivel está la organización de acuerdo con su giro de negocio y su operación.

También se mide qué tan atractiva puede ser la empresa para un ciberataque.

Se hacen análisis estratégicos y tácticos, se le brinda al cliente un informe de su estado actual y a partir de allí se dan recomendaciones sobre los pasos que debe comenzar a seguir, es diferente, por ejemplo, en industrias donde no solamente se hace análisis a nivel informático, sino también a nivel operativo, porque ya ningún equipo industrial trabaja de forma manual, todo está ligado a sistemas digitales.

-¿Qué sigue?

–El trabajo híbrido llegó para quedarse, lo que antes las empresas tenían como excepciones o medidas temporales de ciberseguridad deben dejar de existir para dar paso a políticas, procesos y procedimientos claros apegados a los objetivos de la organización.

A partir de que cada empresa decide cuáles son sus objetivos y define sus procesos en ciberseguridad y demás, hay recomendaciones muy generales como la concienciación del personal, restringir las conexiones externas, y limitar los accesos a la red con medidas de autenticidad, habilitar mecanismos de doble autenticación para entrar a los sistemas. Controlar la cantidad de acceso y reducir a solo entornos o redes seguras, monitorear los eventos de seguridad a nivel perimetral e interno. En este proceso, trabajar en la concienciación de los colaboradores toma especial relevancia, porque la mayoría de los ataques, aun cuando se cuenta con los sistemas más sofisticados, ocurren porque el colaborador no toma conciencia del peligro.

Al hacer pruebas de phishing a los colaboradores en las empresas, un alto porcentaje cae en los correos falsos.

¿Cuáles son los ataques más comunes que son para empresas?

–Existen diferentes tipos de ataques, a nivel organizacional los de mayor complejidad y la amenaza más importante son los malware. Hay que protegerse en todos los aspectos porque si solo tomas un frente de protección va a resultar insuficiente a la hora de un ataque.

En Marsh ofrecemos asesorías integrales para saber cuál es la vulnerabilidad que tiene la organización, porque va a depender de su línea de negocio o su operación.

-Hay la percepción de que solo les pasa a los bancos, y pensamos que no nos puede pasar. ¿Es esto cierto?

–Panamá, en América Latina, es el cuatro país con alto nivel de ciberataques, solo superado por Colombia, Brasil y México, y son economías que distan mucho de la nuestra. Esto sucede principalmente porque tenemos un centro bancario internacional y servicios financieros, y a la dolarización; sin embargo esto no resulta excluyente para ninguna industria. Si bien los servicios financieros y de tecnología están en lo alto de la lista, no resulta excluyente para ningún tipo de sector económico.

Si antes la pregunta era ¿esto me puede pasar a mí o a mi sector? Ahora se ha reformulado a ¿cuándo me tocará a mí?, ¿cómo me puede pasar?

Ya se definen los ciberataques como algo inminente que todas las organizaciones van a tener que enfrentar y todas deben estar preparadas, primero para evitarlo y si llega a suceder, detectarlo a tiempo y saber qué hacer. Hay que cubrir todas las fases, no solo que no suceda, sino que si sucede, se detecte a tiempo, y asimismo hacer el plan de acción, de gestión de crisis y cómo resolverlo.

-Para aquellas empresas que todavía están mirando esto como si fuera un tema que nos les compete directamente. ¿Cuál sería su mensaje?

-Lo primero es comenzar a hacer algo, tener la conciencia de que es inminente un ataque. Dentro de las organizaciones no debe ser un tema solo tecnología, sino a nivel estratégico, establecido por la gerencia general.

Anteriormente solo se le daba la responsabilidad al departamento de Tecnología, y la realidad es que todos en la empresa deben dar los pasos necesarios para tener una estrategia de ciberseguridad integral, en la que se tienen que considerar las capacidades que debe tener la organización para prepararse, detectar y resolver un ciberincidente.

Igualmente, la inversión en recursos y tiempo para contar con la tecnología necesaria, establecimiento de procesos claros de seguridad y capacitación del personal.

Estos serían como los pasos iniciales para llegar a los niveles de madurez en ciberseguridad requeridos, pero en Panamá aún hay mucho por hacer.

Hitler Cigarruista

[email protected]

Capital Financiero