Datos financieros, económicos, de personas o cualquiera de importancia para una institución, puede ser franqueada por un ciberataque a través de las redes o inclusive dispositivos móviles, como un pen drive o un teléfono. Edson Villar, consultor de seguridad de información, visitó Buenos Aires y brindó una conferencia organizada por Marsh, líder global en provisión de soluciones, seguros y administración de riesgo por industria. En la sociedad actual la información de empresas, gobiernos y organizaciones, corren el riesgo de ser vulneradas
Malware, pishing, hacktivistas, insiders, virus, botnets, son palabras cada vez más comunes para gente que no es informática y describen las diversas formas a las que están expuestas personas y organizaciones. “Lo que buscan es dinero o extorsionar. Hacen fraude o piden dinero para recuperar la información”, generalizó Villar.
Las empresas saben que la interrupción del servicio puede ser muy costoso. Aunque Eugene Kaspersky, fundador de una de las grandes compañías de seguridad informática, afirma que “no hay nada 100% seguro”, ya que todo puede ser vulnerado, no es cuestión de quedarse esperando a que ello ocurra, como explicó Villar.
Personas
Se calcula que más de la mitad de las cuentas personales de e mail o linkedin, han sido hakeadas. Los consejos para evitar una nueva intromisión son los que presentó Villar: contraseñas robustas y que no se repitan; utilizar un gestor de contraseñas (como Keychain); habilitar el doble factor de autenticación (por ejemplo, a través de un mensaje al celular); software original y actualizado; chequera que no han entrado a nuestras redes sociales antes (puede hacerse en haveibeenpwned.com).
También algo muy común: no fiarse de correos que pidan información personal o contraseñas; estos son envíos masivos hechos a través de programas, pero por ejemplo es muy difícil que haya un rico que nos conocemos que nos haya dejado una herencia. En Bancos u otros sitos de pago, hay que asegurarse que sean HTTPS (detalle de barra verde o candado en el navegador). El software antivirus hoy es imprescindible y hay que mantenlo actualizado. Las copias de seguridad de la información, hay que hacerlas periódicamente. También el consultor recomienda bloquear los dispositivos cuando uno se aleja y cifrarlos para que un extraño no pueda acceder.
Organizaciones
Cuando la información de una compañía es vulnerable, los intentos de accesos no autorizados son más constantes y estudiados, frente a los de una cuenta de e mail o red social, donde el proveedor desarrolla robustos sistemas para sus millones de usuarios.
Edson Villar, de forma pormenorizada, calificó las formas que utilizan los cibercriminales. Y las empresas pueden clasificarse entre las que aún no saben que han sido hackeadas y las que están al tanto de ello y han tomado medidas de seguridad.
Un informe de Verizon, estableció que “la mayoría de los ciber-criminales buscan obtener dinero, así deban ganarlo poniendo en riesgo la información personal que manejamos, los datos de tarjetas de crédito o débito o propiedad intelectual”.
En 2017 el ataque de un ransomware (programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y luego piden un ‘rescate’) afectó a 54%de las organizaciones en 10 países, de acuerdo a Marsh. Y el gasto promedio de cada organización fue de 133 mil dólares. Por eso el 60% de los ejecutivos afirman que tienen más confianza en entender y evaluar el ciber-riesgo, que en mitigarlo o responder cuando ya fueron atacados.
Marsh en su estudio llegó a la conclusión que para el 75% de los consultados el mayor problema fue la interrupción del servicio y las operaciones de su organización. Y en segundo lugar, con el 59%, el daño en la reputación y percepción colectiva.
El ciber riesgo fue definido por Villar de la siguiente manera: robo o manipulación de información sensible o confidencial (información de nóminas, informes médicos, secretos comerciales, etc.), malware capaz de destruir datos; hardware roto o interrumpir las operaciones; fraude informático; intercepción de las comunicaciones y acceso no autorizado a la red.
Los que están expuestos son casi todos: si una organización usa tecnología en sus operaciones o almacena/procesa/maneja datos sensibles o confidenciales, entonces se encuentra expuesta a un ciberataque. No es un problema que se agota en lo tecnológico, sino que es un tipo de riesgo que debe ser gestionado por los jerarcas de las organizaciones.
El impacto potencial de un ciberataque es difícil de calcular y esto complica a los directivos de las empresas las evaluaciones de costo-beneficio. Aunque de acuerdo a la gravedad, tiene impacto en muchos de los que están relacionados con la organización como clientes, empleados, proveedores, propietarios, acreedores o inclusive una nación, dependiendo de la actividad que realiza la empresa, como por ejemplo una de servicio de agua.
El enfoque de Marsh para apoyar a sus clientes en la gestión adecuada del riesgo cibernético, consiste en tres etapas, descritas a continuación. El análisis experto para ayudar a entender el nivel de ciber riesgo. La cuantificación, donde se hace un cálculo estimado de la exposición. Y la gestión, con la implementación de controles de ciberseguridad y en la transferencia del riesgo a través de una póliza de seguros. Los riesgos existen, los ataques cibercrimnales son cada vez más robustos y para mantener la salud informática, sirve el viejo refrán: “mejor prevenir que curar”.