La ciberseguridad ya no es un área más a la que asignar los recursos de una empresa. Vivimos en un mundo de datos y las decisiones que los involucran se vuelven esenciales. El material específico alrededor del tema es muy variado, pero no siempre es accesible para quienes no manejan tecnicismos. Así lo entiende Víctor Eduardo Deutsch, autor del libro “Ciberseguridad para directivos”, un texto del que ya hablamos hace unos meses en Escudo Digital y que ahora este experto en ciberseguridad ha presentado en la Fundación Telefónica. El texto aporta, con lenguaje sencillo y enfoque práctico, el abordaje de cuestiones complejas que hoy son fundamentales para enfrentar los riesgos digitales que amenazan tanto la economía como la continuidad de un proyecto.
Deutsch es analista de computación de la Universidad de Buenos Aires, con más de 25 años de experiencia en tecnologías de la información y ciberseguridad, ha ocupado cargos gerenciales en diferentes unidades de negocio del Grupo Telefónica, tanto Latinoamérica como en España y a nivel global. En esta entrevista con Escudo Digital, el autor anima a los responsables de las compañías a que se involucren en la materia entendiendo que cualquier organización está en el punto de mira de los delincuentes pero no es necesario entrar en pánico por eso, ya que anticiparse a las circunstancias y reducir riesgos está al alcance de sus manos.
¿Por qué los directivos deberían formarse en ciberseguridad?
Sobre todo por la dependencia de los sistemas digitales que tienen las organizaciones hoy en día. En los últimos años, las compañías empezaron a tener canales de distribución, de ventas, de relaciones con proveedores, relaciones institucionales o con la administración, todo a través de medios digitales. Eso que hace 20 años era incipiente y sólo se tenía un canal web que era complementario, hoy pasa a ser en muchos sectores el canal principal, el medio por el cual sobrevive una organización. En sectores como el turismo, las reservas de hoteles, por ejemplo, o en las aerolíneas, en los bancos, los canales digitales de relacionamiento con la sociedad o con sus clientes son completamente digitales, entonces el grado de dependencia que hay de estos sistemas es mucho mayor que antes. De hecho, se produce una convergencia, en el sentido de que antes el desarrollo del sistema buscaba automatizar una serie de tareas que eran manuales, la meta era sobre todo generar mayor productividad. Ahora, cuando se idean servicios digitales no se piensa sólo en la productividad, se ve la forma de llegar mejor al cliente, cómo diferenciarse de la competencia, es decir, en muchas industrias el software pasa a ser el core del negocio, o, directamente, el software desarrollado en los canales digitales es el propio negocio. Eso hace que los directivos tengan que preocuparse más y dediquen mucho más tiempo a los temas de relación con la TI y a las amenazas que pueden tener, porque los riesgos que pueden sufrir esos sistemas de información afectan al puro negocio. Además, todos los sistemas hoy están muy integrados. Si una compañía ha sido atacada o tiene algún tipo de malware que se está difundiendo por su red, es muy probable que de esa empresa se pueda saltar a otras filiales de la misma organización o a otras que tienen relación con ella, a proveedores o a clientes. Entones la responsabilidad es todavía mayor porque no solamente afecta a la propia compañía sino a terceros. Con lo cual, indudablemente, la informática y los ataques sobre estos canales digitales están muy ligados a la operación, a los compromisos que tiene la organización con terceros y eso hace que sea todavía más sensible el tema.
¿Hay una conciencia real de las repercusiones que puede tener una vulneración digital?
Yo creo que, a nivel de conciencia, sí, se ha mejorado mucho. En el libro cito un estudio que habíamos hecho con empresarios pymes, sobre los que siempre cayó la sospecha de que no tenían noción de estos problemas y la realidad es que la investigación reveló que tienen una altísima conciencia de la ciberseguridad porque prácticamente el 20% de las pymes de España sufre, por lo menos, un ataque al año, con lo cual en 5 años todas las pymes del país han sufrido algún tipo de ataque, de alguna manera. Quizá lo que falta no es tanto la conciencia sino sentirse capaces de meterse en ese mundo. La mayoría de los directivos están muy bien formados en temas de finanzas, de logística, en temas comerciales, se sienten fuertes en estos aspectos y sobre eso desarrollan sus carreras profesionales, pero cuando entran en el mundo de la ciberseguridad les parece algo muy de especialistas, demasiado técnico, con una jerga muy específica. Pero la realidad es que al estar tan ligada la ciberseguridad a la operación de la compañía, tienen que empezar a involucrarse más porque una decisión estratégica desde este punto de vista no sólo afecta a los sistemas, también repercute en los clientes, los proveedores, las diferentes relaciones que tiene, en resumen, en el propio negocio de la compañía. Entonces lo que intenta el libro es animarlos a que se involucren más en los temas de ciberseguridad, aunque técnicamente no los dominen, porque al final nunca va a dominar técnicamente todos los temas, pero sí van a necesitar ciertos conocimientos como para poder tomar decisiones que afecten al negocio. Y no descansar el 100% en los especialistas.
¿Qué es lo primero que se debe hacer en una organización para mantener la información segura? ¿Por dónde sería recomendable empezar: contratar personal, tercerizar un servicio, adquirir aplicaciones o software…?
Todas esas medidas, así como establecer controles, formar al personal, tomar acciones de concienciación, hay que hacerlas de una forma ordenada, pero creo que lo más importante es pensar un plan de respuesta ante una posible crisis. Al final, por más que tomemos todas las medidas de seguridad del mundo, siempre existe la posibilidad de que tengamos un ataque informático que no hayamos podido evitar, no todo lo podemos prevenir. Entonces la recomendación es tener un proceso de gestión de crisis muy bien organizado, tratando de prever la mayor cantidad de ataques posibles y cómo reaccionar a ellos, teniendo el apoyo de la dirección para reaccionar a estas cuestiones. Cuando una empresa recibe un ciberataque no es sólo un problema de los informáticos, afecta a una gran cadena, con lo cual hay que tener muy clara la comunicación que se va a dar a los proveedores, cómo se va a reportar el incidente a las autoridades, cómo se le va a contar al mundo lo que está pasando en ese momento, cómo se va a gestionar y lo más importante es tener muy bien preparado este procedimiento de respuesta a incidentes. Y por supuesto, entrenarlo. Tratar de emular incidentes antes de que ocurran, y que la gente tenga un cierto entrenamiento. Así como estamos acostumbrados a hacer un simulacro de incendios en cualquier edificio, es importante hacer simulacros de ataques digitales periódicamente, para que el personal esté preparado para responder a este tipo de incidentes. Lo primero es tener eso muy aceitado y mientras tanto, por supuesto, ir trabajando en todas las medidas de prevención que necesitamos. Esto es algo que se desdeña un poco, pero una de las medidas más importantes de prevención es la concienciación del personal, y suele dejarse en último lugar. Hace poco leí un estudio de IBM que decía que el 90% de los incidentes de seguridad tienen algún tipo de factor humano. Muchos ataques se producen porque un empleado le dio al enlace de un correo que no tenía que darle o ha enviado una información a alguien que no tenía que recibirla. Y este tipo de cosas son las que se pueden prevenir formando a la gente, haciendo campañas de concienciación, que el personal tenga conocimiento de esos problemas y cuanto menos incidentes, menos errores y malicia pueda haber de parte de los empleados, sin la menor duda va a haber menos incidentes de seguridad y menos graves.
Luego, hay que evaluar los riesgos del negocio y creo que los directivos no tienen que tener miedo a meter mano en la ciberseguridad desde el punto de vista de que ellos conocen bien su negocio y tienen que saber cuáles son sus sistemas más críticos, cuales son los procesos que no se pueden interrumpir o que les pueden generar más problemas. El libro los anima a hacerlo, a buscar información y ser ellos quienes lideren esa evaluación de riesgos de ciberseguridad, así como hacen la evaluación de riesgos financieros, que están preparados para hacerlo, pues que se animen a trabajar con esto. Una vez que lleguen a los aspectos técnicos, tendrán que utilizar especialistas. Una empresa pequeña podrá tirar de soluciones más estándar o empaquetadas y para eso tienen una variedad de proveedores de comunicaciones y de datos que pueden dar ese servicio desde la nube, o proveedores de antivirus que estén acostumbrados a trabajar con pymes y tienen conjuntos de soluciones. Y siempre pueden, luego, contratar un especialista que los ayude en aspectos clave. Cuando la empresa es más grande y los procesos empiezan a ser más complejos, ya necesitan pensar en una estructura interna, un responsable de sistemas que conozca de seguridad, y cuando ya es todavía más grande, la estructura del sistema te lleva a tener no solo un gerente de informática, sino un especialista en seguridad para supervisar los sistemas y controlar a los proveedores, porque cuando se tercerizan procesos también tienes que empezar a controlar que se cumplan los acuerdos de nivel de servicio, negociar los contratos y hacerlo con cierto criterio porque todos usan parámetros distintos. A medida que se crece, es necesaria una estructura más diversificada de recursos.
¿Qué implicaciones puede tener la implementación de la directiva NIS 2 y el reglamento DORA aprobadas por el Parlamento Europeo para normalizar las medidas de ciberseguridad en las empresas?
Para mi es neutral la regulación, todo el mundo tiene que cumplir y poco más. A quienes suele afectar más es a los proveedores de servicios, porque este modelo de computación en la nube lleva a que unas pocas empresas manejen los datos de muchísimas, entonces tienen que adecuarse a la regulación y asegurar que los servicios que estén brindando les permitan a los clientes cumplirla. Las propias empresas descansan en que sus proveedores de red sean capaces de cumplir con eso. Las operadoras de comunicaciones, las empresas de servicios en la nube, de data center, son las que verán más afectado su negocio. Después, aquellas compañías que tienen procesamiento de datos propio tienen que adecuarse y también hay regulaciones sectoriales muy duras que hay que cumplir en el sector bancario, en seguros, entonces hay otro tipo de normativas que son complementarias con estas y que hay que cumplir. Pero en general NIS y DORA creo que van a impactar más sobre los operadores y proveedores de servicios.
Y, ¿qué opinas sobre las posibles sanciones a directivos que se contemplan en estas regulaciones?
Eso es algo que ya viene sucediendo en general. Se está aumentando la responsabilidad de los directivos desde el punto de vista penal, tanto en los aspectos de corrupción como en la revelación de información confidencial y los directivos tienen que responder cada vez más por lo que hacen sus empresas. Es una tendencia general que se está dando, no es un tema que sale sólo de los aspectos de riesgo de ciberseguridad.
Cuando hablamos de un usuario promedio, ¿cómo debería atenderse la ciberseguridad?
Las campañas de concienciación son claves. En el libro cito ejemplos de algunas normas y de códigos internos que se pueden utilizar en las empresas para prevenir este tipo de acciones. Una de las cosas más evidentes es que las estafas que se dan en informática, al final, son estafas. Es decir, el grueso de los ataques que sufren las compañías suelen estar relacionados con engaños, temas de phishing, el fraude del ceo, amenazas que nos llegan por correo electrónico. Las estafas más comunes siguen una serie de reglas que también ocurren en el mundo físico, buscan engañar a la persona y si uno alerta contra eso está reduciendo gran parte de los riesgos que aparecen para la compañía. Es un tema de formación, de distribuir información, de relacionarlo con el mundo físico con el que la gente está mucho más acostumbrada a trabajar, y con eso ir ganando conciencia. No hay una resolución única, cada compañía es distinta y las culturas son diferentes, con lo cual la forma de llegar al público de una empresa puede ser distinta a la que se necesita para llegar a otro grupo de empleados. Tengo un colega en Reino Unido, Ian Murphy, que montó una compañía llamada Cyberoff, especialmente dedicada a hacer campañas de concienciación en empresas porque considera que suelen ser muy aburridas: se envían correos explicando una serie de cosas, con folletos, pero al final no sabes si efectivamente se lee o el mensaje es interpretado. Entonces él usa el humor, arma un video haciendo la parodia de una película contando una historia de ciberseguridad, con “Regreso al futuro”, con “Doctor Who”, cosas así. Y con esos videos ilustrados explica las amenazas, pero en un tono gracioso. ¿Qué se garantiza con eso? Que la gente termina viendo los videos y entendiendo el contenido, se asegura la atención de la gente y consigue un mayor nivel de atención de los empleados. Incluso utiliza a los directivos de la compañía como actores en esos videos, se mueren de risa, aprenden ¡y todo el mundo los quiere ver! Son técnicas que se utilizan para que sea más asequible la difusión de este tipo de contenido.
¿Hasta dónde se puede llegar con la Inteligencia Artificial, puede significar un peligro?
No lo veo como amenaza a la seguridad, la IA o esta técnica de utilizar lenguajes basados en conocimientos, que sería más apropiado, es una herramienta más y la puede utilizar tanto una empresa como un hacker. Actualmente, los ataques los realizan mafias, organizaciones que invierten dinero en desarrollar herramientas y utilizan una gran capacidad de cómputo y tienen programadores, gente que diseña los ataques, gente que hace inteligencia, es decir son organizaciones realmente complejas con muchos especialistas que están trabajando para generar esos delitos y ese flujo negro de fondos. Pueden contratar especialistas de la web oscura que se dediquen a eso y pueden utilizar la técnica de IA como pueden usar cualquier otra. No creo que agregue una amenaza adicional, simplemente es una herramienta que utilizan, así como también utilizamos herramientas de IA para identificar patrones de ataque y prevenirlos. Viendo como fueron los cuatro últimos ataques trato de ver el quinto, inferirlo en función de los parámetros que estoy detectando y para eso, con el volumen de ataques que se recibe hoy en día manualmente es muy difícil, y se usan técnicas de machine learning para eso, y los atacantes hacen lo mismo. Quizá el gran salto se pueda producir con la computación cuántica. Significaría un enorme avance en la capacidad de procesamiento, y eso sí puede afectar mucho tanto los sistemas de encriptación, por ejemplo, como los sistemas de protección porque eso es otra informática, es otra computación y en el futuro habrá que trabajar con técnicas muy distintas.