Una empresa debe evitar a toda costa pensar: “Eso no me pasará a mí. No soy un banco y no soy un blanco de ataque”. Negar la realidad es la posición más simple y peligrosa para una empresa. Por tanto, el primer paso que debe tomar es ser consciente del riesgo para actuar. Realizar una estrategia de ciberseguridad y definir las políticas de seguridad de la información es primordial.
“Esto consiste en concientizar a la organización y establecer las reglas de juego en términos de la seguridad de la información. La estrategia de ciberseguridad debe llevar una metodología que incluya mínimo los siguientes pasos: identificar, proteger, detectar, responder y remediar; tal como lo recomiendan entidades como NIST y MITRE”, explicó a El Peruano Juan Camilo Ruiz, director de producto en seguridad y servicios de InterNexa para toda la región.
Errores comunes
Pese a esto, las empresas actualmente se preocupan más por comprar equipamiento de ciberseguridad en lugar de realizar un adecuado planeamiento de riesgos. Esto lo saben los ciberdelincuentes, y por tanto aprovechan esta situación atacando las vulnerabilidades de las empresas, por ejemplo, apuntan a los usuarios de la información.
“La falta de cultura de ciberseguridad en los usuarios hace que sean el vector de ataque más explotado en la actualidad. Malware, phishing, SMShing y un sinnúmero de ataques conocidos tienen un factor común: la falta de precaución de los usuarios quienes abren correos, visitan páginas web y descargan contenidos confiando ‘ciegamente’ en las fuentes materializando riesgos”, enfatizó Ruiz.
Una vez definida la estrategia de ciberseguridad se debe documentar y darse a conocer a los usuarios que tienen contacto con la información. Este paso es fundamental porque permite la creación y gestión de la cultura de ciberseguridad en los usuarios. Asimismo, la estrategia de ciberseguridad define cuál es la infraestructura de equipos requeridos para el cumplimiento de dicho plan.
Enfocando riesgos
Una empresa no tiene que cubrir el 100% de sus riesgos de ciberseguridad, precisó Ruiz, solo debe enfocarse en los que tienen mayor impacto en su negocio. Así, debe ejecutar un plan de mitigación que incluya los aspectos de prevención, protección, respuesta y recuperación.
“Este plan de mitigación debe ser continuo en el tiempo. Conforme el negocio de las empresas cambia, los riesgos también lo hacen y por lo tanto la empresa debe adaptar su plan de mitigación”, señaló.
Por ejemplo, en Perú existe una nueva amenaza que afecta a las empresas del sector minero y eléctrico. Sus procesos productivos y operativos cada vez están más automatizados y controlados por aplicaciones que toman decisiones con base en sensores instalados en sus unidades mineras y subestaciones. Esta infraestructura operativa no fue construida pensando en los riesgos de ciberseguridad.
“Una empresa minera debe preguntarse en este momento: ¿qué puede suceder en mi operación si una terminal HMI, una RTU o un conjunto de PLCs dejan de operar ‘normalmente’? Esta infraestructura cada vez más requiere el uso de computación, procesamiento, almacenamiento y conexión a Internet; elementos donde actualmente existen riesgos”, indicó.
Finalmente, la estrategia de ciberseguridad siempre debe comprender los aspectos de remediación, es decir, qué hacer después de haber sido atacados para mantener la continuidad del negocio.
“Es clave mantener una alta disponibilidad en la infraestructura de cómputo, procesamiento, seguridad y almacenamiento para seguir ejecutando las actividades tras el ciberataque. Realizar constantemente el backup de la información que permita tener una copia de la información lo más actualizada posible. Esta copia de respaldo debe almacenarse en otra ubicación y con características de inmutabilidad”, concluyó.
LO DICE LA GENTE Talara
